首页 -> 安全研究

安全研究

绿盟月刊
绿盟安全月刊->第17期->最新漏洞
期刊号: 类型: 关键词:
Oracle WebDB PL/SQL Proxy访问安全漏洞

日期:2001-01-10

受影响的系统:  
Oracle Internet Application Server 3.0.7以及更低版本
   - Sun Solaris 8.0
   - Sun Solaris 7.0
   - Sun Solaris 2.6
   - Sun Solaris 2.5.1
   - S.u.S.E. Linux 7.0
   - S.u.S.E. Linux 6.4
   - RedHat Linux 7.0
   - RedHat Linux 6.2 i386
   - Debian Linux 2.2

描述:
--------------------------------------------------------------------------------


Oracle WebDB是Oracle Internet Application Server(IAS)软件包的一部分。
它存在一个安全漏洞,允许远程攻击者对受限资源进行非法访问。

这个问题是由于WebDB Engine可以接受HTTP请求对数据库的查询。通过发送一
个定制的HTTP请求,远程攻击者可以获取一些数据库的敏感信息例如DAD名字。
攻击者也可以利用这些信息来通过web接口提交SQL查询语句。攻击者可以非法
查询数据库,也可能进一步控制数据库中的数据。

<*来源:Michal Zalewski (lcamtuf@tpi.pl) *>   
   


测试程序:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!



http://www.oracle.com/pls/oracle8i/select%09something...
http://www.oracle.com/pls/oracle8i/%0aselect%09something...


--------------------------------------------------------------------------------
建议:

暂无。

版权所有,未经许可,不得转载