发布日期：2002-03-18
更新日期：2002-03-18

受影响系统：

Oracle Oracle 9i Application Server
    - AIX 5.1
    - AIX 4.3.3
    - AIX 4.3.2
    - AIX 4.3.1
    - AIX 4.3
    - AIX 4.2.1
    - AIX 4.2
    - AIX 4.1.5
    - AIX 4.1.4
    - AIX 4.1.3
    - AIX 4.1.2
    - AIX 4.1.1
    - AIX 4.1
    - AIX 4.0
    - AIX 3.2.5
    - AIX 3.2.4
    - AIX 3.2
    - AIX 3.1
    - AIX 3.0
    - AIX 2.2.1
    - AIX 1.3
    - AIX 1.2.1
    - HP-UX 9.9
    - HP-UX 9.8
    - HP-UX 9.7
    - HP-UX 9.6
    - HP-UX 9.5
    - HP-UX 9.4
    - HP-UX 9.3
    - HP-UX 9.10
    - HP-UX 9.1
    - HP-UX 9.0
    - HP-UX 8.9
    - HP-UX 8.8
    - HP-UX 8.7
    - HP-UX 8.6
    - HP-UX 8.5
    - HP-UX 8.4
    - HP-UX 8.3
    - HP-UX 8.2
    - HP-UX 8.1
    - HP-UX 8.0
    - HP-UX 7.8
    - HP-UX 7.6
    - HP-UX 7.4
    - HP-UX 7.2
    - HP-UX 7.0
    - HP-UX 11.11
    - HP-UX 11.04
    - HP-UX 11.0
    - HP-UX 10.9
    - HP-UX 10.8
    - HP-UX 10.34
    - HP-UX 10.30
    - HP-UX 10.26
    - HP-UX 10.20
    - HP-UX 10.16
    - HP-UX 10.10
    - HP-UX 10.01
    - HP-UX 10.0
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 SP2
    - Microsoft Windows 2000 SP1
    - Microsoft Windows 2000
    - Solaris 8.0 x86
    - Solaris 7.0
    - Solaris 7.0 x86
    - Solaris 2.6
    - Solaris 2.6 x86
    - Solaris 2.5.1 x86
    - Solaris 2.5.1
    - Solaris 2.5
    - Solaris 2.5 x86
    - Solaris 2.4
    - Solaris 2.3
    - Solaris 2.2
    - Solaris 2.1
    - Solaris 2.0
    - Solaris 1.2
    - Solaris 1.1.4
    - Solaris 1.1.3
    - Solaris 1.1.2
    - Solaris 1.1.1
    - Solaris 1.1
    - Tru64 5.1
    - Tru64 5.0f
    - Tru64 5.0a
    - Tru64 5.0
    - Tru64 4.0g

描述：

---

BUGTRAQ  ID: 4291

Oracle 9iAS是一种大型的关系数据库系统，由Oracle公司开发和维护。

Oracle 9iAS安装过程中存在问题，远程攻击者可能利用此问题得到对数据库的非法访问。

Oracle 9iAS在安装过程中会根据安装组件的不同创建最多为160个的帐户，这些帐户的口令都是公开、已知的，许多口令与帐户名相同。甚至某些Oracle组件的部分功能还必须依赖与某些缺省帐号的存在。攻击者可以通过这些缺省帐号非法访问Oracle数据库。


<*来源：David Litchfield （david@nextgenss[.]com）
  
  链接：http://www.kb.cert.org/vuls/id/712723
        http://www[.]nextgenss[.]com/papers/hpoas.pdf
        http://www.cert.org/advisories/CA-2002-08.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，Oracle建议您采取以下措施以降低威胁：

* 删除所有不需要的帐号或者修改它们的缺省口令。
关于这些帐号和口令的列表可以参考David Litchfield的技术白皮书的附录部分：
http://www[.]nextgenss[.]com/papers/hpoas.pdf
厂商补丁：

Oracle
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.oracle.com/ip/deploy/ias/

浏览次数：6473
严重程度：0（网友投票）