文書番号 49731 最終更新日 2004-05-25 公開区分 一般公開 文書タイプ PROBLEM
製品名(バージョン)[コンポーネント] Web Cache (9.0.2 - ) [Web Cache security]
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書  
概要 [9iAS 9.0.2] WebCache の管理者パスワードがデフォルトで暗号化されていない問題
内容:
【問題】
[9iAS 9.0.2] WebCache の管理者パスワードがデフォルトで暗号化されていない問題


【問題概要】
Oracle Enterprise Manager Web site (OEM Website) にセキュリティの脆弱性が
発見されました。OEM Website は Oracle9i Application Server リリース 9.0.2
にて提供される機能で ブラウザからアクセスできる管理画面を提供します。
OEM Website は WebCache の管理も行いますが、この WebCache の管理者パスワード
がデフォルトで暗号化されていません。そのため知識のある悪意を持ったユーザが
WebCache の管理者パスワードに対して不正なアクセスができる可能性があります。


【影響のあるリリース】

   - Oracle9i Application Server     リリース 9.0.2.x  


【影響のあるプラットフォーム】

WindowsNT/2000 以外のLINUXを含む全UNIXプラットフォーム

    Sun
    -----
    Sun SPARC Solaris
    Sun SPARC Solaris (64-bit) 
    
    HP
    ------
    HP Tru64 UNIX
    
    HP
    ---
    HP 9000 Series HP-UX
    HP 9000 Series HP-UX (64-bit) 
    
    IBM
    ----
    IBM RS 6000 AIX
    IBM RS 6000 AIX (64-bit)
      
    Linux
    --------
    Intel Based Server LINUX 


【回避策】

以下の手順に従ってパスワードを暗号化して下さい。

1. $ORACLE_HOME/sysman/emd/targets.xml を編集します。

   targets.xml は OEM Website が使用する情報が含まれるファイルです。
   この中の Target TYPE="oracle_webcache" のタグの要素であります

  <Property NAME="authpwd" VALUE="WebCache管理パスワード" /> 

  の部分を

  <Property NAME="authpwd" VALUE="WebCache管理パスワード" ENCRYPTED="FALSE" /> 
                                                         ^^^^^^^^^^^^^^^^^
  に変更します。(ENCRYPTED="FALSE" はすべて大文字です)
  複数 9iAS のインスタンスが存在する場合にはその数に応じて変更して下さい。

targets.xml の例

●編集前


<Target TYPE="oracle_webcache" NAME="www.oracle.com_Web Cache" DISPLAY_NAME="Web Cache">
  <Property NAME="HTTPPort" VALUE="7780" /> 
  <Property NAME="logFileName" VALUE="webcache.log" /> 
  <Property NAME="authrealm" VALUE="Oracle Web Cache Administrator" /> 
  <Property NAME="AdminPort" VALUE="4006" /> 
  <Property NAME="HTTPProtocol" VALUE="http" /> 
  <Property NAME="logFileDir" VALUE="/sysman/log" /> 
  <Property NAME="HTTPMachine" VALUE="www.oracle.com" /> 
  <Property NAME="HTTPQuery" VALUE="" /> 
  <Property NAME="controlFile" VALUE="/home/ias902/j2ee1_home/webcache/bin/webcachectl" /> 
  <Property NAME="MonitorPort" VALUE="4008" /> 
  <Property NAME="HTTPPath" VALUE="/" /> 
  <Property NAME="authpwd" VALUE="WebCache管理パスワード" />    <====●
  <Property NAME="authuser" VALUE="administrator" /> 
 <CompositeMembership>

   <MemberOf TYPE="oracle_ias" NAME="j2ee_1.www.oracle.com" ASSOCIATION="null" /> 
  </CompositeMembership>
</Target>

●編集後

<Target TYPE="oracle_webcache" NAME="www.oracle.com_Web Cache" DISPLAY_NAME="Web Cache">
  <Property NAME="HTTPPort" VALUE="7780" /> 
  <Property NAME="logFileName" VALUE="webcache.log" /> 
  <Property NAME="authrealm" VALUE="Oracle Web Cache Administrator" /> 
  <Property NAME="AdminPort" VALUE="4006" /> 
  <Property NAME="HTTPProtocol" VALUE="http" /> 
  <Property NAME="logFileDir" VALUE="/sysman/log" /> 
  <Property NAME="HTTPMachine" VALUE="www.oracle.com" /> 
  <Property NAME="HTTPQuery" VALUE="" /> 
  <Property NAME="controlFile" VALUE="/home/ias902/j2ee1_home/webcache/bin/webcachectl" /> 
  <Property NAME="MonitorPort" VALUE="4008" /> 
  <Property NAME="HTTPPath" VALUE="/" /> 
  <Property NAME="authpwd" VALUE="WebCache管理パスワード" ENCRYPTED="FALSE" />    <====●
  <Property NAME="authuser" VALUE="administrator" /> 
 <CompositeMembership>

   <MemberOf TYPE="oracle_ias" NAME="j2ee_1.www.oracle.com" ASSOCIATION="null" /> 
  </CompositeMembership>
</Target>

2. 以下のコマンドを実行して OEM Website の設定をリロードして下さい

  > $ORACLE_HOME/bin/emctl reload

  こちらを実行することによって以下のようにパスワードが暗号化されます。

     <Property NAME="authpwd" VALUE="3677238b46d49c8a" ENCRYPTED="TRUE"/>

   注意)
   この targets.xml はあくまで OEM Website が管理をしているファイルです。
   WebCache の管理用のパスワード自体が変更された場合には手動で上記と同様に

  <Property NAME="authpwd" VALUE="変更したWebCache管理パスワード" ENCRYPTED="FALSE" />

   として記述し、その後 emctl reload コマンドを実行して設定を反映させて下さい。


【修正情報】

本問題は、Oracle9iAS リリース 9.0.3 にて修正されています。

    注) 9.0.2 のパッチ・セット にはこの修正は含まれていません。



【更新履歴】
2004/05/25 文書管理情報を更新
2003/05/23 9.0.3 にて修正されている旨を追記
2002/09/02 本KROWN一般公開
2002/08/16 本KROWN作成