漏洞关键信息 名称: Oracle 10g 清文本密码 影响系统: Oracle 10g 在所有操作系统上 严重性: 中风险 厂商URL: http://www.oracle.com/ 作者: David Litchfield [davidl@ngssoftware.com] 公共公告日期: 2004年12月23日 顾问编号: #NISR2122004D 顾问URL: http://www.ngssoftware.com/advisories/oracle23122004D.txt 描述 10g Oracle 数据库服务器可能在世界可读文件中以明文形式保存密码。 详情 SYSMAN 账户(DBA)的密码可以在文件 ORACLE_HOME/hostname_sid/sysman/config/emoms.properties 中找到。该文件是世界可读的。 如果安装 Oracle 10g 时,安装程序为 SYS、SYSTEM、DBSNMP 和 SYSMAN 帐户提供相同的密码,并且该密码包含感叹号(例如 f00bar!!),则在设置 SYSMAN 和 DBSNMP 帐户密码时,数据库安装过程中会发生错误。此错误记录在文件 "postDBCreation.log" 中,并记录密码信息。 修复信息 Oracle 为此问题发布了修补程序 (#68)。可以通过 metalink.oracle.com/ 获取更多详细信息。NGSSquirrel for Oracle (http://www.nextgenss.com/squirrelora.htm) 可用于评估您的 Oracle 服务器是否容易受到此漏洞的影响。