Wednesday, 19 April 2006

Oracle ออก security tool แก้ปัญหา default password

ช่วงนี้มีแต่ข่าวของ Oracle เพราะข่าวเกี่ยวกับ Java ส่วนใหญ่ตอนนี้ จะเป็นข่าวภูเขาไฟระเบิดที่เกาะชวา(Java)
เข้าเรื่องเลยละกัน

Oracle ออก tool สำหรับค้นหา default password ที่อยู่ใน database ซึ่งอาจถูก hacker เอาไปใช้ได้
tool นี้ชื่อว่า Oracle Default Password Scanner เป็นส่วนหนึ่งของ Critical Patch Update ที่พึ่งออกมา

ผู้บริหารของ Oracle บอกว่า Oracle database เวอร์ชันที่ผ่านจะมี default username/password ที่รู้จักกันดี เช่น "scott / tiger"
account เหล่านี้ยังถูกสร้างจาก software อื่นได้ด้วย เช่น application server
ถึงแม้ว่า account พวกนี้จะถูก lock ในเวอร์ชันปัจจุบัน แต่อาจสร้างปัญหากับผู้ใช้เวอร์ชันเก่า และเวอร์ชันที่ upgrade ขึ้นมาซึ่งมี default password
ติดมาด้วย เช่น Oracle 10g ที่ upgrade มาจาก Oracle 7, Oracle8i, หรือ Oracle9i

password scanner เป็น SQL (Structured Query Language) script ที่ scan database และแสดงชื่อของ account ที่ไม่ได้ lock ไว้
จากนั้นจะอธิบายผู้ใช้ว่าควรทำอย่างไรต่อไป

ดูรายละเอียดของ Patch ได้ที่ http://www.oracle.com/technology/deploy/security/pdf/cpuapr2006.html

ที่มา http://www.computerworld.com.au/index.php/id;86678223;fp;2;fpid;1