PeopleSoft PeopleTools SchedulerTransfer远程命令执行漏洞发布时间:2003-03-10 更新时间:2003-03-10 严重程度:高 威胁程度:普通用户访问权限 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:7053 CVE(CAN) ID:CAN-2003-0104 受影响系统 PeopleSoft PeopleTools 8.10详细描述 PeopleSoft企业软件可以对企业进行多方面的管理,如人力资源,客户关系等。PeopleSoft应用程序包含报告库,其中"SchedulerTransfer" Java servlet用于通过HTTP或HTTPS传输协议把对报告库进行存取。 "SchedulerTransfer" servlet默认配置在PeopleSoft Web服务器上,可以被未验证用户作为Java servlet访问,"SchedulerTransfer" servlet包含文件上传代码可以通过HTTP POST请求处理文件传送。默认情况下没有任何验证机制。攻击者可以利用目录遍历建立或覆盖上传目录之外的文件,导致任意命令执行。 测试代码 尚无 解决方案 BEA WebLogic可以在'weblogic.properties'文件中配置不允许访问servlet : weblogic.httpd.register.servlets/SchedulerTransfer=SchedulerTransfer weblogic.allow.execute.weblogic.servlet.servlets/SchedulerTransfer=system IBM WebSphere可以在"Configure Application Security"配置不允许访问SchedulerTransfer。 PeopleTools 8.19和8.42不存在此漏洞,建议升级,或者联系供应商获得补丁: http://www.peoplesoft.com/corp/en/public_index.asp 相关信息 Neel Mehta of ISS X-Force. 相关参考:http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21999 主页:http://www.peoplesoft.com/corp/en/public_index.asp |
