Oracle Applications口令解密信息泄露漏洞 |
| 更新时间:2007-10-13 3:48:46 |
责任编辑:ShellExp |
|
|
受影响系统:
Oracle Applications 11i
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 23446
Oracle Application是一种能够支持所有主流Web开发语言、API和框架的应用服务器。
Oracle Applications服务器口令加密设计上存在漏洞,远程攻击者可能利用此漏洞破解口令。
Oracle Applications服务器的帐号口令使用APPS数据库口令作为加密密钥而不是单次的哈希算法加密存储在了数据库中。如果攻击者能够通过ad-hoc查询访问或不安全的克隆例程等方式访问到加密的口令字符串的话,就可以将其破解。
<*来源:Stephen Kost
Jack Kanter
链接:http://www.integrigy.com/security-resources/advisories/Integrigy_Encrypted_Password_Disclosure.pdf
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Oracle
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.oracle.com
来源:绿盟科技 | | | |
|
安全中国首页 > 新闻中心 > 数据库漏洞