PeopleSoft XML外部实体远程文件泄露漏洞发布时间:2003-01-20 更新时间:2003-01-20 严重程度:中 威胁程度:远程非授权文件存取 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:6647 CVE(CAN) ID:CAN-2002-1252 受影响系统 PeopleSoft PeopleTools 8.14详细描述 ISS X-Force发现PeopleSoft应用消息网关中存在一个缺陷,PeopleSoft企业软件可以进行很多商务功能,如人力资源管理,客户关系等。 PeopleSoft应用消息网关(Application Messaging Gateway)提供WEB接口,可用于PeopleSoft产品和非PeopleSoft产品同步通信。应用消息网关默认在PeopleSoft Web上运行,可以作为Java servlet来访问,攻击者可以使用XML外部实体(XML External Entities )攻击来在系统上读取任意文件内容。PeopleSoft包含一个处理器可以把数据推到PeopleSoft系统之外,称为SimpleFileHandler,一旦通过网关管理servlet增加这个处理器后,XML数据可以通过HTTP POST请求提交,当应答请求时,部分发送的数据会发送给请求用户,导致信息泄露。 测试代码 尚无 解决方案 临时方法: 删除/psft/pt8/filehandler目录中的SimpleFileHandler文件。 或者管理修改'weblogic.properties'文件限制如下servlet的访问: weblogic.httpd.register.servlets/gateway.administration=psft.pt8.config.ConfigServlet weblogic.allow.execute.weblogic.servlet.servlets/gateway.administration=system weblogic.httpd.register.servlets/gateway.handlers=psft.pt8.reader.ReaderServlet weblogic.allow.execute.weblogic.servlet.servlets/gateway.handlers=system weblogic.httpd.register.servlets/gateway=psft.pt8.gateway.GatewayServlet weblogic.allow.execute.weblogic.servlet.servlets/gateway=system PeopleTools 8.19将修正这个漏洞。 相关信息 参考:http://online.securityfocus.com/advisories/4891 |
