jueves, 18 de marzo de 1999

Password al aire en Oracle

El asistente de creación de base de datos de la versión 8 del SGBD
Oracle deja la password del usuario interno en un fichero log en
texto plano.
La última versión de la base de datos de Oracle contiene, entre las
herramientas de administración, una dedicada a crear una base de
datos estándar que permite al usuario con pocos conocimientos de
la materia ejecutar los procedimientos necesarios para generar una
base de datos pidiendo al usuario un conjunto mínimo de parámetros.

Entre ellos se encuentra la password del usuario interno. Este
usuario es el único que puede conectarse cuando no se encuentra en
ejecución la base de datos, y puede modificar todos los valores de
la configuración de ésta. Se accede a él por el «server manager»,
utilidad de administración, mediante:

connect internal/mypass

donde mypass es la password de dicho usuario.

Como la mayoría de las herramientas que realizan tareas automáticas,
el asistente de creación de bases de datos de Oracle va guardando en
un fichero log todas las acciones que va acometiendo. La primera de
ellas es la conexión a la base de datos con el usuario interno, y
esto queda registrado en dicho log con la password en texto claro.
El mayor problema es que el acceso a este log es ilimitado, por lo
que cualquier usuario puede leer la password de este usuario.

La solución es tan simple como tener la precaución de cambiar la
password una vez haya terminado el proceso de creación. Otra
posible solución sería borrar dicho log. En cualquiera de los dos
casos hay que tener en cuenta este dato para no dejarnos «la puerta
abierta».

Más infomación:
Bugtraq


None



No hay comentarios:

Publicar un comentario en la entrada