xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version
 最近严重漏洞 
Microsoft RPC接口远程任意代码可执行漏洞
Cisco IOS接口不正确处理IPV4包远程拒绝服务漏洞
Microsoft Windows CreateFile API命名管道权限提升漏洞

Oracle 9iAS存在已知默认密码漏洞


发布时间:2002-03-20
更新时间:2002-03-20
严重程度:
威胁程度:口令恢复
错误类型:设计错误
利用方式:服务器模式

BUGTRAQ ID:4291

受影响系统
Oracle Oracle 9i Application Server 0.0
   - Compaq Tru64 4.0g
   - Compaq Tru64 5.0
   - Compaq Tru64 5.0a
   - Compaq Tru64 5.0f
   - Compaq Tru64 5.1
   - HP HP-UX 7.0
   - HP HP-UX 7.2
   - HP HP-UX 7.4
   - HP HP-UX 7.6
   - HP HP-UX 7.8
   - HP HP-UX 8.0
   - HP HP-UX 8.1
   - HP HP-UX 8.2
   - HP HP-UX 8.4
   - HP HP-UX 8.5
   - HP HP-UX 8.6
   - HP HP-UX 8.7
   - HP HP-UX 8.8
   - HP HP-UX 8.9
   - HP HP-UX 9.0
   - HP HP-UX 9.1
   - HP HP-UX 9.3
   - HP HP-UX 9.4
   - HP HP-UX 9.5
   - HP HP-UX 9.6
   - HP HP-UX 9.7
   - HP HP-UX 9.8
   - HP HP-UX 9.9
   - HP HP-UX 9.10
   - HP HP-UX 10.0
   - HP HP-UX 10.01
   - HP HP-UX 10.1
   - HP HP-UX 10.8
   - HP HP-UX 10.9
   - HP HP-UX 10.10
   - HP HP-UX 10.16
   - HP HP-UX 10.20
   - HP HP-UX 10.26
   - HP HP-UX 10.30
   - HP HP-UX 10.34
   - HP HP-UX 11.0
   - HP HP-UX 11.04
   - HP HP-UX 11.11
   - IBM AIX 1.2.1
   - IBM AIX 1.3
   - IBM AIX 2.2.1
   - IBM AIX 3.0x
   - IBM AIX 3.1
   - IBM AIX 3.2
   - IBM AIX 3.2.4
   - IBM AIX 3.2.5
   - IBM AIX 4.0
   - IBM AIX 4.1
   - IBM AIX 4.1.1
   - IBM AIX 4.1.2
   - IBM AIX 4.1.3
   - IBM AIX 4.1.4
   - IBM AIX 4.1.5
   - IBM AIX 4.2
   - IBM AIX 4.2.1
   - IBM AIX 4.3
   - IBM AIX 4.3.1
   - IBM AIX 4.3.2
   - IBM AIX 4.3.3
   - IBM AIX 5.1
   - Microsoft Windows 2000 Workstation 0.0
   - Microsoft Windows 2000 Workstation 0.0SP1
   - Microsoft Windows 2000 Workstation 0.0SP2
   - Microsoft Windows NT 4.0
   - Microsoft Windows NT 4.0SP1
   - Microsoft Windows NT 4.0SP2
   - Microsoft Windows NT 4.0SP3
   - Microsoft Windows NT 4.0SP4
   - Microsoft Windows NT 4.0SP5
   - Microsoft Windows NT 4.0SP6a
   - Sun Solaris 1.1
   - Sun Solaris 1.1.1
   - Sun Solaris 1.1.2
   - Sun Solaris 1.1.3
   - Sun Solaris 1.1.3_U1
   - Sun Solaris 1.1.4
   - Sun Solaris 1.1.4-JL
   - Sun Solaris 1.2
   - Sun Solaris 2.0
   - Sun Solaris 2.1
   - Sun Solaris 2.2
   - Sun Solaris 2.3
   - Sun Solaris 2.4
   - Sun Solaris 2.4_x86
   - Sun Solaris 2.5
   - Sun Solaris 2.5_x86
   - Sun Solaris 2.5.1
   - Sun Solaris 2.5.1_x86
   - Sun Solaris 2.6
   - Sun Solaris 2.6_x86
   - Sun Solaris 2.6_x86HW3/98
   - Sun Solaris 2.6_x86HW5/98
   - Sun Solaris 2.6HW3/98
   - Sun Solaris 2.6HW5/98
   - Sun Solaris 7.0
   - Sun Solaris 7.0_x86
   - Sun Solaris 8.0
   - Sun Solaris 8.0_x86
详细描述
Oracle 9iAS是一款WEB服务应用。

Oracle 9iAS在安装过程中根据安装的组件不同可以建立多大160个默认用户帐户,这些帐户使用了已知的默认密码,多数和其帐户名相同。

测试代码
见描述

解决方案
改变这些默认帐户的密码。

相关信息
David Litchfield <david@ngssoftware.com>
参考:http://www.nextgenss.com/papers/hpoas.pdf
http://www.kb.cert.org/vuls/id/712723
相关主页:http://otn.oracle.com/deploy/security/alerts.htm
http://www.oracle.com/ip/deploy/ias/index.html
Copyright © 1998-2003 XFOCUS Team. All Rights Reserved