› Fóruns › Banco de dados Oracle › Falha de segurança – Oracle XE › Falha de segurança – Oracle XE
IshiiOlá,
Na verdade não sei classificar se é realmente uma brecha ou uma falha na instalação do XE. No caso do XE sobre Windows é criado um Grupo ORA_DBA e no Gerenciamento do Computador (Painel de Controle >> Ferramentas Administrativas >> Gerenciamento do Computador >> Ferramentas do Sistema >> Usuários e Grupos Locais >> Grupos – aff) você vai notar que existe um grupo ORA_DBA e que alguns usuários ou apenas o Adm da Máquina estão nele.
Com essa configuração a validação dos usuários é feito pela OS também e no caso do XE quando colocado a opção “as sysdba” informando apenas o slash “/” ou barra. Faça alguns testes:
1) Abra o prompt do DOS digite: sqlplus /nolog
2) No prompt do SQL digite: connect / as sysdba
3) Você estará conectado como SYS por que a autenticação foi feita pela validação do usuário no Grupo ORA_DBA
Teste 2
1) Vá no Grupo ORA_DBA (conforme o longo caminho acima) e remova todos os usuários
2) Tente novamente o teste acima… deve retornar mensagem de privilégios insuficientes… (se não retornar então o erro é mais grave ainda)
O que acontece com essa validação via OS? Ele simplesmente ignora o user e o password e prevalece o slash e a expressão “as sysdba”. Se você notou ele sempre conecta como SYS….
Espero ter ajudado.
[]s Ishii