xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version

Oracle9iAS Portal Component SQL注入漏洞


发布时间:2003-11-04
更新时间:2003-11-04
严重程度:
威胁程度:服务器信息泄露
错误类型:访问验证错误
利用方式:服务器模式

BUGTRAQ ID:8966

受影响系统
Oracle Oracle9i Application Server 9.0.2 .3
Oracle Oracle9i Application Server 9.0.2 .2
Oracle Oracle9i Application Server 9.0.2 .1
Oracle Oracle9i Application Server 9.0.2 .0.1
Oracle Oracle9i Application Server 9.0.2 .0.0
Oracle Oracle9i Application Server 9.0.2
Oracle Oracle9i Application Server Portal 3.0.9 .8.5
   + Oracle Oracle9i Application Server 1.0.2 .2
Oracle Oracle9i Application Server Portal 9.0.2 .3B
   + Oracle Oracle9i Application Server 9.0.2 .3
Oracle Oracle9i Application Server Portal 9.0.2 .3A
   + Oracle Oracle9i Application Server 9.0.2 .2
Oracle Oracle9i Application Server Portal 9.0.2 .3
   + Oracle Oracle9i Application Server 9.0.2 .1
详细描述
Oracle's RDBMS是高级数据库服务程序。

默认情况下,Oracle应用服务程序允许WEB未授权用户访问PL/SQL和RDBMS中的存储过程,由于对用户提交的URL缺少过滤,提交包含SQL命令的请求,可以未授权访问数据库数据,包括用户名和密码散列信息。

解决方案
下载使用 Portal Release 1 version 3.0.9.8.5的patch 3068980和Portal Release 2 version 9.0.2.3.0的patch 2852895:

http://metalink.oracle.com/

相关信息
参考:http://www.securityfocus.com/archive/1/343520
http://otn.oracle.com/deploy/security/pdf/2003alert61.pdf