Oracle 9iAS XSQL Servlet文件权限可绕过漏洞发布时间:2002-03-19 更新时间:2002-03-19 严重程度:低 威胁程度:服务器信息泄露 错误类型:设计错误 利用方式:服务器模式 BUGTRAQ ID:4298 受影响系统 Oracle Oracle 9i Application Server 1.0.2详细描述 Oracle 9iAS包含XSQL SERVLET作为XML开发包的部分之一,用来转换从SQL查询到XML格式的响应。 不过servlet没有正确的设置文件权限,攻击者可以利用这个漏洞查看敏感系统配置文件。 测试代码 尚无 解决方案 要避免此漏洞,请正确设置文档权限。 相关信息 参考:http://www.nextgenss.com/papers/hpoas.pdf http://online.securityfocus.com/advisories/3964 相关主页:http://otn.oracle.com/deploy/security/pdf/ias_modplsql_alert.pdf |
