Well-known default username/password combinations have been found (Oracle Default Account and Password)

脆弱点 ID: 3445
危険度: 高危険度  高危険度 Oracle Default Account and Password
プラットフォーム: Windows 2000: 任意のバージョン、Oracle: 任意のバージョン、Linux: 任意のバージョン、Solaris: 任意のバージョン、HP-UX: 任意のバージョン、Windows: XP、AIX: 任意のバージョン、Tru64 UNIX:任意のバージョン、Mac OS X: 任意のバージョン、Windows 2003: 任意のバージョン
説明:

Oracle データベースには、複数の既知のデフォルト ユーザー名/パスワードの組み合わせがあります。次のような組み合わせがあります。SCOTT/TIGER、DBSNMP/DBSNMP、SYSTEM/MANAGER、SYS/CHANGE_ON_INSTALL、TRACESVR/TRACE、CTXSYS/CTXSYS、MDSYS/MDSYS、DEMO/DEMO、CTXDEMO/CTXDEMO、APPLSYS/FND、PO8/PO8、NAMES/NAMES、SYSADM/SYSADM、ORDPLUGINS/ORDPLUGINS、OUTLN/OUTLN、ADAMS/WOOD、BLAKE/PAPER、JONES/STEEL、CLARK/CLOTH、AURORA$ORB$UNAUTHENTICATED/INVALID、および APPS/APPS。これらのデフォルトの組み合わせは、サーバーへの不正アクセスをもたらす可能性があります。

Oracle では、AUTH_SESSKEY から提供されたセッション キーを介してパスワードを暗号化して送信する必要があるため、デフォルトのパスワードがネットワーク上で一致することは不可能です。

対処法:

デフォルトのパスワードを推測しにくいものに変更します。次のコマンドを実行して、アカウントのパスワードを変更します。
ALTER USER <ユーザー名> IDENTIFIED BY <新しいパスワード>

注記: Oracle Intelligent Agent を使用していて、DBSNMP アカウントのパスワードを変更する場合は、snmp_rw.ora ファイルにも新しいパスワードを置く必要があります。

追加情報:

このシグネチャは、ログイン要求時の Oracle 内蔵のユーザー名の使用を検出します。

参照事項:

ISS X-Force
Well-known default username/password combinations have been found
http://www.iss.net/security_center/static/3445.php


X-Force Logo
Know Your Risks
Mitre.org CVE Logo
Common Vulnerabilties & Exposures