Oracle 9i默认配置文件信息泄露漏洞发布时间:2002-03-20 更新时间:2002-03-20 严重程度:中 威胁程度:服务器信息泄露 错误类型:配置错误 利用方式:服务器模式 BUGTRAQ ID:4290 受影响系统 Oracle Oracle 9i Application Server 1.0.2详细描述 Oracle 9iAS包含两个重要的配置文件称为"XSQLConfig.xml"和"soapConfig.xml". 其中包含如数据库用户名和密码的敏感信息。 这些文件可以被远程用户未加认证访问,远程用户可以通过虚拟目录访问和读取文件。 测试代码 见描述 解决方案 管理可以通过更改权限来限制用户对这些文件的访问。 相关信息 David Litchfield <david@ngssoftware.com> 参考:http://www.nextgenss.com/papers/hpoas.pdf http://www.kb.cert.org/vuls/id/712723 相关主页:http://otn.oracle.com/deploy/security/alerts.htm http://www.oracle.com/ip/deploy/ias/index.html |
