漏洞信息详情
Oracle Single Sign-On登录页验证信息泄露漏洞
- CNNVD编号:CNNVD-200403-140 <!--
- 危害等级: 低危-->
- 危害等级: 低危
- CVE编号: CVE-2004-1877
- 漏洞类型: 设计错误
- 发布时间: 2004-03-30
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: oracle
- 漏洞来源: Madison Gurkha※ l0...
-
漏洞简介
Oracle包含Single Sign-on应用程序,称为OSSO。 Single Sign-on包含的登录表单存在信息泄露问题,远程攻击者可以利用这个漏洞获得如用户名和密码等敏感信息。 这可诱使目标用户打开一个修改过URL参数的SSO登录页来完成。如果用户只检查主机证书,他们将不会注意到自己被欺骗。并且在登录后,会被重定向到正确的应用程序上,而不知道用户名和密码已泄露。 目前没有详细漏洞细节提供。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 在定制的登录页中p_submit_url值可硬性指定,p_submit_url URL值在902 SSO server是以下格式:
http(s)://sso_host:port/pls/orasso/orasso.wwsso_app_admin.ls_login 厂商补丁: Oracle ------ 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.oracle.com
参考网址
来源: XF 名称: oracle-sso-login-spoofing(15676) 链接:http://xforce.iss.net/xforce/xfdb/15676 来源: BID 名称: 10009 链接:http://www.securityfocus.com/bid/10009 来源: BUGTRAQ 名称: 20040330 Problem with customized login pages for Oracle SSO 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108067040722235&w=2
受影响实体
- Oracle Application_server:9.0.3.1<!--2000-1-1-->
- Oracle Application_server:9.0.2<!--2000-1-1-->
- Oracle Http_server:9.2.0<!--2000-1-1-->
- Oracle Http_server:8.1.7<!--2000-1-1-->
- Oracle Http_server:9.0.1<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...