漏洞信息详情
Oracle 9iAS Apache PL/SQL模块Web管理页面访问控制漏洞
- CNNVD编号:CNNVD-200207-004 <!--
- 危害等级: 高危-->
- 危害等级: 高危
- CVE编号: CVE-2002-0561
- 漏洞类型: 配置错误
- 发布时间: 2002-03-15
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: oracle
- 漏洞来源: David Litchfield※ ...
-
漏洞简介
Oracle 9iAS的Web服务部分是由增加了PL/SQL支持模块的Apache服务器提供。主机上相关的用于管理的Web页面可以使用户修改数据库访问描述符和缓存设置。 Oracle 9iAS的Web管理页面访问控制上存在问题,远程攻击者可能利用此漏洞更改系统设置,造成拒绝服务攻击。 默认安装情况下,对于那些管理页面的访问不需要认证,这就使任意远程攻击者可以通过访问那些管理页面执行某些操作,更改PL/SQL应用程序或者使合法用户不能访问服务器程序。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CERT建议您采取以下措施以降低威胁:
* 在/Apache/modplsql/cfg/wdbsvr.app文件中对可以访问的用户名等相关信息进行设置,确信只有合法用户才能访问。 厂商补丁: Oracle ------ 目前厂商已经提供了解决方案以修复这个安全问题,请到厂商的主页下载:
http://otn.oracle.com/deploy/security/pdf/ias_modplsql_alert.pdf
参考网址
来源:US-CERT Vulnerability Note: VU#611776 名称: VU#611776 链接:http://www.kb.cert.org/vuls/id/611776 来源:CERT/CC Advisory: CA-2002-08 名称: CA-2002-08 链接:http://www.cert.org/advisories/CA-2002-08.html 来源: otn.oracle.com 链接:http://otn.oracle.com/deploy/security/pdf/ias_modplsql_alert.pdf 来源: BID 名称: 4292 链接:http://www.securityfocus.com/bid/4292 来源: www.nextgenss.com 链接:http://www.nextgenss.com/papers/hpoas.pdf 来源: BUGTRAQ 名称: 20020206 Hackproofing Oracle Application Server paper 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101301813117562&w=2
受影响实体
- Oracle Application_server_web_cache:2.0.0.3<!--2000-1-1-->
- Oracle Oracle9i:9.0.1<!--2000-1-1-->
- Oracle Oracle8i:8.1.7<!--2000-1-1-->
- Oracle Oracle8i:8.1.7_.1<!--2000-1-1-->
- Oracle Oracle9i:9.0<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...