Oracle Listener不正规调式命令可导致拒绝服务攻击发布时间:2002-08-21 更新时间:2002-08-21 严重程度:中 威胁程度:远程拒绝服务 错误类型:边界检查错误 利用方式:服务器模式 BUGTRAQ ID:5457 CVE(CAN) ID:CAN-2002-0856 受影响系统 Oracle Oracle9i 9.0详细描述 Oracle Listener支持多个调式命令,远程管理员可以用这些命令或数据库信息。 SQL*NET允许客户端-服务器和服务器-服务器端通过任意网络通信,SQL*NET可以提供分布式SQL查询,就象SQL客户端访问SQL数据库一样。 Oracle9i有调试功能允许数据库管理员收集服务器中的信息,调式功能默认开启,而且不能关闭。Oracle9i SQL*NET Listener没有正确处理部分发送到网络中的调试请求,如果Oracle9i 碰到这类请求,就可以导致崩溃,不能在处理授权服务器或者客户端的SQL请求。 测试代码 无 解决方案 Oracle建立通过'Valid Node Checking'功能限制用户访问Listener。 在Oracle 9i 9.0.1.4和Oracle 9i Release 2 9.2.0.2的版本中可改正这个漏洞。 补丁下载,补丁号为2467947: http://metalink.oracle.com 相关信息 X-Force of Internet Security Systems <xforce@iss.net>. 参考:http://technet.oracle.com/deploy/security/pdf/2002alert38rev1.pdf http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20941 |
