漏洞信息详情
Oracle 9iAS PL/SQL OWA_UTIL非授权存储过程访问漏洞
- CNNVD编号:CNNVD-200207-023 <!--
- 危害等级: 中危-->
- 危害等级: 中危
- CVE编号: CVE-2002-0560
- 漏洞类型: 配置错误
- 发布时间: 2002-03-15
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: oracle
- 漏洞来源: David Litchfield※ ...
-
漏洞简介
PL/SQL是Oracle对结构化查询语言的一种基于过程的扩展,PL/SQL基本上就是数据库中的存储过程,这些过程可以被外界调用。 PL/SQL实现上存在问题,远程攻击者可以通过Web对这某些存储过程进行调用。 远程攻击者可以通过匿名Web访问调用PL/SQL的OWA_UTIL存储过程,这可能会导致远程攻击者由此得到许多相关的敏感信息,也可能潜在地导致SQL查询命令的执行。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,Oracle建议您采取以下措施以降低威胁:
* 在配置文件"/Apache/modplsql/cfg/wdbsvr.app"加入exclusion_list参数进行访问控制:
exclusion_list= account*, sys.*, dbms_*, owa* 厂商补丁: Oracle ------ 目前厂商已经提供了解决方案以修复这个安全问题,请到厂商的主页下载:
http://otn.oracle.com/deploy/security/pdf/ias_modplsql_alert.pdf
参考网址
来源:CERT/CC Advisory: CA-2002-08 名称: CA-2002-08 链接:http://www.cert.org/advisories/CA-2002-08.html 来源:US-CERT Vulnerability Note: VU#307835 名称: VU#307835 链接:http://www.kb.cert.org/vuls/id/307835 来源: BID 名称: 4294 链接:http://www.securityfocus.com/bid/4294 来源: otn.oracle.com 链接:http://otn.oracle.com/deploy/security/pdf/ias_modplsql_alert.pdf 来源: www.nextgenss.com 链接:http://www.nextgenss.com/papers/hpoas.pdf 来源: BUGTRAQ 名称: 20020206 Hackproofing Oracle Application Server paper 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101301813117562&w=2
受影响实体
- Oracle Oracle9i:9.0.1<!--2000-1-1-->
- Oracle Oracle9i:9.0<!--2000-1-1-->
- Oracle Oracle8i:8.1.7<!--2000-1-1-->
- Oracle Oracle8i:8.1.7.1<!--2000-1-1-->
- Oracle Application_server_web_cache:2.0.0.2<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...