Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database
(Oracle Database)
Описание
Системная таблица SYS.LINK$ содержит каналы связи БД фиксированного пользователя с незашифрованным паролем.
Канал связи баз данных - это указатель в БД Oracle на удаленную базу данных. Учетные данные для каналов связи БД фиксированных пользователей хранятся в системной таблице SYS.LINK$. Таблица содержит шесть столбцов с важной информацией:
- USERNAME
- PASSWORD
- AUTHUSR
- AUTHPWD
Столбцы содержат имена пользователей и пароли, которые используются для соединения с удаленной базой данных. Чтобы подключение к удаленной базе данных было возможным, имя пользователя и пароли должны храниться в незашифрованном виде.
Поскольку хранение паролей в незашифрованном виде небезопасно, рекомендуется использовать каналы связи БД подключенного пользователя и текущего пользователя. Эти типы каналов связи не содержат учетных данных в описании канала связи БД. Использование этих типов каналов связи баз данных является предпочтительным.
Канал связи баз данных - это указатель в БД Oracle на удаленную базу данных. Учетные данные для каналов связи БД фиксированных пользователей хранятся в системной таблице SYS.LINK$. Таблица содержит шесть столбцов с важной информацией:
- USERNAME
- PASSWORD
- AUTHUSR
- AUTHPWD
Столбцы содержат имена пользователей и пароли, которые используются для соединения с удаленной базой данных. Чтобы подключение к удаленной базе данных было возможным, имя пользователя и пароли должны храниться в незашифрованном виде.
Поскольку хранение паролей в незашифрованном виде небезопасно, рекомендуется использовать каналы связи БД подключенного пользователя и текущего пользователя. Эти типы каналов связи не содержат учетных данных в описании канала связи БД. Использование этих типов каналов связи баз данных является предпочтительным.
Как исправить
Каналы связи БД фиксированного пользователя необходимо заменить каналами связи баз данных подключенного пользователя или текущего пользователя. Следующая команда используется для удаления канала связи БД:
DROP DATABASE LINK [имя канала связи];
Чтобы создать канал связи БД подключенного пользователя или текущего пользователя, используйте следующую команду:
CREATE DATABASE LINK [имя канала связи] USING '[имя сетевого сервиса]';
DROP DATABASE LINK [имя канала связи];
Чтобы создать канал связи БД подключенного пользователя или текущего пользователя, используйте следующую команду:
CREATE DATABASE LINK [имя канала связи] USING '[имя сетевого сервиса]';
