Oracle XSQL Servlet 存在可以执行任意JAVA代码的漏洞发布时间:2001-01-31 更新时间:2001-01-31 严重程度:中 威胁程度:远程非授权文件存取 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Oracle database server 8.1.7.0.0详细描述 Oracle XSQL Servlet可以动态的从SQL请求中生成XML文档。但ORACLE 数据库程序中对在stylesheet参考中的用户输入没有很好的进行检查,导致可以远程以服务器的UID来执行任意JAVA代码。 测试代码 尚无 解决方案 升级程序: Oracle Oracle 8i 8.1.7.0.0 Enterprise: Oracle upgrade XSQL Servlet 1.0.4.0 http://technet.oracle.com/tech/xml/xsql_servlet/ Oracle XSQL Servlet 1.0.3: Oracle upgrade XSQL Servlet 1.0.4.0 http://technet.oracle.com/tech/xml/xsql_servlet/ Oracle XSQL Servlet 1.0.2: Oracle upgrade XSQL Servlet 1.0.4.0 http://technet.oracle.com/tech/xml/xsql_servlet/ Oracle XSQL Servlet 1.0.1: Oracle upgrade XSQL Servlet 1.0.4.0 http://technet.oracle.com/tech/xml/xsql_servlet/ Oracle XSQL Servlet 1.00 Windows 2000: Oracle upgrade XSQL Servlet 1.0.4.0 http://technet.oracle.com/tech/xml/xsql_servlet/ 相关信息 |
