Oracle 9i应用服务器例子脚本信息泄露漏洞发布时间:2003-01-15 更新时间:2003-01-15 严重程度:低 威胁程度:服务器信息泄露 错误类型:设计错误 利用方式:服务器模式 BUGTRAQ ID:6556 受影响系统 Oracle Oracle 9i Application Server 1.0.2 .1s详细描述 Oracle 9i应用服务器附带的几个例子脚本存在安全问题,这些脚本可以使远程攻击者从Oracle服务器发送任意邮件或泄露系统环境变量信息。攻击者得到这些信息后可能有助于其对系统进行进一步的渗透。 这些脚本包括: http://servername/demo/email/sendmail.jsp http://servername/demo/info/info.jsp http://servername/cgi-bin/printenv http://servername/fcgi-bin/echo http://servername/fcgi-bin/echo2 http://servername/xsql/java/xsql/demo/adhocsql/query.xsql 解决方案 这些脚本并没有实际的用处,可以删除之。 相关信息 David Litchfield |
