在Oracle应用程序11i中存在未披露的安全漏洞,其可能允许未经身份验证的内部攻击者获取Oracle应用程序的用户帐户加密密码字符串,这又可以使用先前发布的信息进行解密。攻击者可能会获得任何用户的密码或Oracle应用程序的主要数据库帐户密码(应用程序)。攻击者必须具有直接SQL *净访问数据库(例如,SQL * Plus)并利用Oracle应用程序安全功能“托管SQL *净访问”和“服务器安全性”的漏洞。底层问题是使用先前发布的方法轻松解密Oracle应用程序密码。所有Oracle应用程序实现应至少启用“服务器安全性”,并且最好也能够启用“托管SQL * Net Access”。

文件: 
标签: 
Oracle E-Business Suite, 信息披露