Oracle RDBMS服务器默认帐号漏洞

　　受影响系统：

　　Oracle Oracle8i 8.1.7.1

　　Oracle Oracle8i 8.1.7

　　Oracle Oracle8i 8.1.6

　　Oracle Oracle8i 8.1.5

　　Oracle Oracle8i 8.0.6

　　Oracle Oracle8i 8.0.5

　　Oracle Oracle8i 8.0.4

　　Oracle Oracle8i 8.0.2

　　Oracle Oracle8i 8.0.1

　　不受影响系统：

　　描述：

　　BUGTRAQ ID: 3899

　　Oracle RDBMS服务器是一个全功能的关系数据库管理系统。Oracle RDBMS提供了一组对Oralce数据库的管理工具。Oralce有Unix，Linux和Windows等多种平台下的版本。

　　Oralce RDBMS在安装时会生成一些演示帐号，远程攻击者可能利用这些帐号得到对数据库系统的非法访问。

　　Oralce RDBMS安装时会以预设的口令生成一些演示帐号，帐号名一般是一些人名比如(SCOTT/TIGER)，如果攻击者知道这些帐号就能访问到数据库。另外，它会为“SYSTEM”和“SYS”用户设置缺省口令，分别是“manager”和“change_on_install”。

　　<*来源：Jonathan A. Zdziarski (jonathan@cafejesus.com)

　　链接：http://archives.neohapsis.com/archives/bugtraq/2002-01/0226.html

　　*>

　　建议：

　　临时解决方法：

　　如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

　　* 删除那些默认帐号：

　　用“SELECT USERNAME FROM DBA_USERS;”sql命令找出数据库系统的用户，使用“ USER”命令删除那些看起来是人名的帐号。

　　厂商补丁：

　　Oracle

　　------

　　目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

　　http://www.oracle.com/