发布时间:2003-11-04
更新时间:2003-11-04
严重程度:中
威胁程度:服务器信息泄露
错误类型:访问验证错误
利用方式:服务器模式
BUGTRAQ ID:8966
受影响系统 Oracle Oracle9i Application Server 9.0.2 .3
Oracle Oracle9i Application Server 9.0.2 .2
Oracle Oracle9i Application Server 9.0.2 .1
Oracle Oracle9i Application Server 9.0.2 .0.1
Oracle Oracle9i Application Server 9.0.2 .0.0
Oracle Oracle9i Application Server 9.0.2
Oracle Oracle9i Application Server Portal 3.0.9 .8.5
+ Oracle Oracle9i Application Server 1.0.2 .2
Oracle Oracle9i Application Server Portal 9.0.2 .3B
+ Oracle Oracle9i Application Server 9.0.2 .3
Oracle Oracle9i Application Server Portal 9.0.2 .3A
+ Oracle Oracle9i Application Server 9.0.2 .2
Oracle Oracle9i Application Server Portal 9.0.2 .3
+ Oracle Oracle9i Application Server 9.0.2 .1
详细描述
Oracle's RDBMS是高级数据库服务程序
。
默认情况下
,Oracle应用服务程序允许WEB未授权用户访问PL/
SQL和RDBMS中的存储过程
,由于对用户提交的URL缺少过滤,提交包含
SQL命令的请求,可以未授权访问数据库数据,包括用户名和密码散列信息
。
解决方案
下载使用 Portal Release 1 version 3.0.9.8.5的patch 3068980和Portal Release 2 version 9.0.2.3.0的patch 2852895:
http://metalink.oracle.com/
相关信息
参考:
http://www.securityfocus.com/archive/1/343520
http://otn.oracle.com/deploy/security/pdf/2003alert61.pdf