Oracle 9i Application Server DAV_PUBLIC存在格式字符串漏洞发布时间:2003-02-11 更新时间:2003-02-19 严重程度:高 威胁程度:远程管理员权限 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:6846 CVE(CAN) ID:CAN-2002-0842 受影响系统 Oracle Oracle 9i Application Server 9.0.2详细描述 Oracle's 9i应用服务器提供高性能WEB服务程序,可以与ORACLE后台数据库集成。 Oralce 9.0.2支持WEBDAV,DAV默认情况下在Oracle's 9i应用服务器中支持。其中日志功能存在漏洞,如果攻击者使用COPY方法和提供使用不同端口的目的URI请求,可返回502 Bad Gateway的应答,这个信息将被记录,但是记录时候没有进行正确检查,存在格式字符串问题,提交恶意请求可以破坏内存结构,可能以WEB权限执行任意代码。 测试代码 尚无 解决方案 编辑'$ORACLE_HOME/Apache/oradav/conf/moddav.conf'文件,关闭如下选项: DAV off 升级到Oracle 9i Application Server 9.0.3或者采用补丁。 相关信息 参考:http://marc.theaimsgroup.com/?l=bugtraq&m=104549708626309&w=2 |
