Oracle E-Business Suite验证可绕过漏洞发布时间:2002-10-11 更新时间:2002-10-11 严重程度:高 威胁程度:控制应用程序系统 错误类型:访问验证错误 利用方式:服务器模式 BUGTRAQ ID:5901 受影响系统 Oracle E-Business Suite 11i 11.1详细描述 E-Business Suite是ORACLE开发的电子商务套件。 打过补丁的E-Business Suite存在漏洞允许用户绕过验证,这个漏洞由AolSecurityPrivate.class引起,熟悉E-Business Suite机制的用户可以绕过验证直接访问系统。 要判断是否存在这个漏洞,使用如下命令进行检查: % unzip $JAVA_TOP/apps.zip oracle/apps/fnd/security/AolSecurityPrivate.class % strings oracle/apps/fnd/security/AolSecurityPrivate.class | grep '$Header’ 如果是AolSecurityPrivate.class version 115.7到version 115.18系统就表示存在这个问题。 测试代码 无 解决方案 下载使用补丁: Oracle E-Business Suite 11i 11.1: Oracle Patch 2609399 http://metalink.oracle.com Oracle E-Business Suite 11i 11.2: Oracle Patch 2609399 http://metalink.oracle.com Oracle E-Business Suite 11i 11.3: Oracle Patch 2609399 http://metalink.oracle.com Oracle E-Business Suite 11i 11.4: Oracle Patch 2609399 http://metalink.oracle.com Oracle E-Business Suite 11i 11.5: Oracle Patch 2609399 http://metalink.oracle.com Oracle E-Business Suite 11i 11.6: Oracle Patch 2609399 http://metalink.oracle.com 相关信息 参考:http://otn.oracle.com/deploy/security/pdf/2002alert44rev1.pdf |
