Gestern hat Oracle ein Werkzeug frei gegeben, das per default gesetzte Passwörter aufspürt, und den Systemadministrator auffordert, diese leicht zu erratende Kennwörter zu ändern. Der "Oracle Default Password Scanner" kann etwa in der Datenbanksoftware eingesetzt werden, um den voreingestellten Usernamen "scott" samt Passwort "tiger" ändern zu lassen. Dieser User-Account wird auch von Oracles Applikationsserver erzeugt.
Zwar gilt dies nur für ältere Versionen der Software, diese ist aber nach wie vor in vielen Unternehmen im Einsatz. Und beim Upgrade auf neuere Releases werden die alten Kenn- und Passwörter eins zu eins übernommen, so etwa beim Upgrade auf die Oracle 10g Datenbank. Der Password Scanner ist ein einfaches SQL-Skript, das Datenbanken nach Passwörtern durchforstet und deren voreingestellte Werte ausdruckt.
Insgesamt veröffentlichte Oracle gestern 14 Patches für die eigene Software, einige von ihnen schließen Sicherheitslücken in der Datenbank, andere im Applikationsserver. Einige Flicken sind für die ERP-Suite und den E-Mail-Server des Datenbankherstellers bestimmt. (rw)