Oracle 9iAS SOAP默认配置漏洞发布时间:2002-03-20 更新时间:2002-03-20 严重程度:中 威胁程度:其它 错误类型:配置错误 利用方式:服务器模式 BUGTRAQ ID:4289 受影响系统 Oracle Oracle 9i Application Server 1.0.2详细描述 Oracle's Simple Object Access Protocol (SOAP)实现存在漏洞。 远程攻击者默认情况下可以未加认证来展开和不展开SOAP提供者和服务。 测试代码 尚无 解决方案 要关闭SOAP,可以通过编辑"$ORACLE_HOME/Apache/Jserv/etc/jserv.conf"注释或者删除下面各行: ApJServGroup group2 1 1 $ORACLE_HOME/Apache/Jserv/etc/jservSoap.properties ApJServMount /soap/servlet ajpv12://localhost:8200/soap ApJServMount /dms2 ajpv12://localhost:8200/soap ApJServGroupMount /soap/servlet balance://group2/soap 要防止SOAP服务被展开,在如下文件中"$ORACLE_HOME/soap/werbapps/soap/WEB-INF/config/ soapConfig.xml"增加下面一行: <osc:option name="autoDeploy" value="false" /> 相关信息 David Litchfield <david@ngssoftware.com> 参考:http://www.nextgenss.com/papers/hpoas.pdf http://www.kb.cert.org/vuls/id/712723 相关主页:http://otn.oracle.com/deploy/security/alerts.htm http://www.oracle.com/ip/deploy/ias/index.html |
