Tool durchsucht Oracles Datenbanken nach unsicheren Passwörtern

Dabei geht es um häufig gebrauchte Passwörter, die via Standardeinstellungen in ein System gelangt sind. Nötig wurde dieser ‘Oracle Default Password Scanner’ durch frühere Versionen der Datenbanksoftware. Diese beinhalteten in den Standardeinstellungen häufig genutzte Benutzername/Passwort-Kombinationen – Hackern wird so der Zutritt leicht gemacht.

Solche Accounts seien auch durch andere Oracle-Software erzeugt worden, beispielsweise den Application Server, der mit der Datenbank zusammenarbeitet, sagte Darius Wiles, Security Alerts Manager bei Oracle, in einem Statement. Obwohl es solche Accounts in der aktuellen Version der Datenbank nicht mehr gibt, könnten sie für einige Anwender mit älterer Version ein Problem darstellen.

Betroffen können laut Oracle auch solche Nutzer sein, die ausgehend von einer älteren Version nachgerüstet haben. So kann die 10g-Datenbank solche voreingestellten Accounts beinhalten, wenn das Upgrade auf Basis von Oracle 7, 8i oder 9i durchgeführt wurde, heißt es in einem Schreiben an die Abonnenten von Oracles Support-Service MetaLink.

Bei dem Passwort-Scanner handelt es sich um SQL-Script, das die Datenbank durchsucht und dann die Namen der entsprechenden Accounts ausdruckt, sofern diese unverschlüsselt sind. “Dieses Tool wurde dafür entwickelt, um solche Fälle aufzudecken und dann Anwendern den richtigen Weg zu weisen, wie sie ihr System absichern können”, so Wiles.