Oracle 9iAS Apache PL/SQL模块WEB管理可访问漏洞发布时间:2002-03-19 更新时间:2002-03-19 严重程度:中 威胁程度:读取受限文件 错误类型:配置错误 利用方式:服务器模式 BUGTRAQ ID:4292 受影响系统 Oracle Oracle 9i Application Server 1.0.2详细描述 Oracle 9iAS web服务由apache web服务程序提供动力,其中包含有PL/SQL的apache模块,相关此服务的管理WEB页面允许WEB用户修改数据库访问描述符和缓冲设置。 默认情况下,未认证用户就可以访问这些管理页面,结果导致任意攻击者可以访问此页面来执行一些管理功能。通过修改DAD设置可以允许攻击者访问或者修改PL/SQL应用,或者拒绝为合法用户提供服务。 测试代码 尚无 解决方案 可以通过配置限制访问,可以在配置文件/Apache/modplsql/cfg/wdbsvr.app指定授权用户名或者管理数据库访问描述符。 相关信息 参考:http://www.nextgenss.com/papers/hpoas.pdf http://online.securityfocus.com/advisories/3964 相关主页:http://otn.oracle.com/deploy/security/pdf/ias_modplsql_alert.pdf |
