Oracle RDBMS 服务程序存在默认帐号漏洞发布时间:2002-01-21 更新时间:2002-01-21 严重程度:高 威胁程度:普通用户访问权限 错误类型:设计错误 利用方式:服务器模式 BUGTRAQ ID:3899 受影响系统 Oracle Oracle8i 8.0.1详细描述 Oracle RDBMS 是一款多功能相关数据库管理系统,Oracle RDBMS 提供一套对 Oracle数据库的管理工具,适用于多个系统平台。 默认Oracle数据库安装下,RDBMS服务程序安装多个"demo"帐户并预设置了密码。 如默认用户名"SCOTT",远程攻击者可以利用这些帐户进行数据库。 测试代码 见描述 解决方案 使用如下语句查找默认帐户: SELECT USERNAME FROM DBA_USERS; 然后查找任意名字看起来象人名的,然后在使用DROP USER删除。 相关信息 Jonathan A. Zdziarski <jonathan@cafejesus.com> |
