首页 -> 安全研究
安全研究
绿盟月刊
绿盟安全月刊->第17期->最新漏洞
日期:2001-01-10
受影响的系统:
Oracle Internet Application Server 3.0.7以及更低版本
- Sun Solaris 8.0
- Sun Solaris 7.0
- Sun Solaris 2.6
- Sun Solaris 2.5.1
- S.u.S.E. Linux 7.0
- S.u.S.E. Linux 6.4
- RedHat Linux 7.0
- RedHat Linux 6.2 i386
- Debian Linux 2.2
描述:
--------------------------------------------------------------------------------
Oracle WebDB是Oracle Internet Application Server(IAS)软件包的一部分。
它存在一个安全漏洞,允许远程攻击者对受限资源进行非法访问。
这个问题是由于WebDB Engine可以接受HTTP请求对数据库的查询。通过发送一
个定制的HTTP请求,远程攻击者可以获取一些数据库的敏感信息例如DAD名字。
攻击者也可以利用这些信息来通过web接口提交SQL查询语句。攻击者可以非法
查询数据库,也可能进一步控制数据库中的数据。
<*来源:Michal Zalewski (lcamtuf@tpi.pl) *>
测试程序:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://www.oracle.com/pls/oracle8i/select%09something...
http://www.oracle.com/pls/oracle8i/%0aselect%09something...
--------------------------------------------------------------------------------
建议:
暂无。
版权所有,未经许可,不得转载