Oracle应用程序11i用户亚美弱点

Oracle Applications 11i用户亚美算法的固有弱点是一个主题,每个主题通常会引起一些关注。 它泡泡起来然后大多数大部分遗忘。 但是,这个问题不会消失,即使在11.5.10.2中也非常活跃。 查看此帖子末尾的参考文章的一点历史。 此亚美弱点(以及ApplsySpub数据库帐户)真的是来自客户端/服务器的持有,并且是Oracle应用程序当前体系结构中的固有设计缺陷。

许多人缺少Oracle应用程序11i用户亚美加密的两个关键问题 -

  • 加密基本上是两种方式 - (1)如果您知道您获取应用程序亚美的任何用户名/亚美或(2)如果您知道应用程序亚美,则会获得任何用户的亚美。 如果您知道其他用户的亚美,我可以看到潜在欺诈,但应用程序亚美是王国的关键。 最有可能有人在生产中不应该具有必要的权限来获取此信息,但通常用户的亚美通常在克隆实例中如开发。
  • 由于解密例程是Java类,因此它实际上很容易创建调用解密方法的Java应用程序。 简单地放入用户名,亚美和加密亚美,外出是应用程序亚美。 放入用户名,应用程序亚美和加密亚美,外出用户的亚美。 无需访问数据库以运行解密。

改进Oracle应用程序11i亚美算法是一个复杂的变化,我不希望Oracle在可预见的未来解决它。 希望在第12版中,将实现强大的哈希算法,并且将不再存在ApplsySpub数据库帐户。

与此同时,以下是至少提高用户亚美安全性的一些建议。 目标是限制对fnd_user表和加密亚美的访问,就像使用dba_users一样。

  • 验证applsyspub在apps.fnd_user_view上没有选择权限。 这尤其是从11.5.6和之前升级的实例的问题。 Applsyspub不需要此视图,除了ADI的旧版本。
  • 更改所有Oracle应用程序11i种子帐户(Sysadmin,Guest,Wizard,AppSmgr等)的亚美即使可能已被禁用。 与此同时,确保除Sysadmin和Guest外的所有帐户都被禁用(注意特定模块可能需要几个帐户)。 请参阅Metalink Note ID 189367.1 最新的播种用户帐户列表。 请务必更改访客亚美并按照Metalink Note ID中的解决方案 396537.1 有关更改亚美的详细信息并检查系统配置文件选项中还更改了亚美"Guest User Password". 多年来,客户已经质疑为什么我们建议始终改变种子帐户亚美即使帐户可能被禁用 - 这就是为什么的原因。
  • 使用强亚美和唯一亚美创建所有新用户帐户。
  • 所有非DBA帐户都限制对Applsys.fnd_user和applsys.fnd_oracle_userid表的限制,包括仅查询的帐户。 通常为支持目的或最终用户查询使用创建AppSread或类似的数据库帐户。 这些帐户倾向于使用选择任何表系统权限创建,允许它们访问FND_User。

克隆介绍了Oracle应用程序的安全问题,因为亚美等敏感信息在克隆实例中。 这适用于FND_USER以及DBA_USERS,因为弱数据库亚美可以很容易破解(请参阅该工具 orabf.). 克隆的挑战是,可能存在多个具有不同用途和不同级别的多个克隆实例。 通常,开发实例对所有开发人员都广泛开放,并分发了应用程序亚美。 可以频繁克隆支持实例,包含敏感信息,并由最终用户访问。 广泛更改亚美DBA_USERS和FND_USER中的所有亚美通常都很难完成,但是对于应用程序和数据库亚美的安全弱点,强烈建议为每个克隆的实例强烈建议所有亚美。

关于Oracle应用程序的引用11i亚美弱点

2002年5月 - Martin Schlafer和Arkanthink的Michael Ackerman是第一个在OAUG纸中真正记录这个问题的人"甲骨文牢不可破吗?第一部分:Oracle应用程序11i中的十个热安全斑点"在多伦多的2002年春季会议上展示。 本文可从中下载 OAUG会议纸存档 (需要oaug成员资格)。 它们强调了亚美弱点,以及任何人都可以通过Web服务器从任何Oracle应用程序实现下载所有Java jar文件的事实。 下载jar文件的能力并不重要,因为它相当容易获得,并且世界上的每个Oracle应用程序11i实现使用相同的算法。 虽然Oracle将从核心jar文件的Web服务器下载到Jinitiator使用的Web服务器。

2005年11月 - http://www.erp100.com/viewthread.php?action=printable&tid=1592 (简体中文 -> 英文翻译) (Sidenote:我想知道中文最终的翻译是什么 - "我们知道结核病Oracle数据库提供普通帐户") 此帖子具有样本PL / SQL程序来破解亚美。

2006年5月 - http://521102yz.itpub.net/post/5095/84876 (简体中文 -> 英文翻译) - 报告上述信息

2006年12月 - http://johanlouwers.blogspot.com/2006/12/oracle-applications-passwords.html

 Share this post