发布日期：2002-03-18
更新日期：2002-03-18

受影响系统：

Oracle Oracle 9i Application Server 1.0.2

描述：

---

BUGTRAQ  ID: 4294
CVE(CAN) ID: CVE-2002-0560

PL/SQL是Oracle对结构化查询语言的一种基于过程的扩展，PL/SQL基本上就是数据库中的存储过程，这些过程可以被外界调用。

PL/SQL实现上存在问题，远程攻击者可以通过Web对这某些存储过程进行调用。

远程攻击者可以通过匿名Web访问调用PL/SQL的OWA_UTIL存储过程，这可能会导致远程攻击者由此得到许多相关的敏感信息，也可能潜在地导致SQL查询命令的执行。

<*来源：David Litchfield （david@nextgenss[.]com]）
  
  链接：http://online.securityfocus.com/bid/4032
        http://www[.]nextgenss[.]com/papers/hpoas.pdf
        http://www.cert.org/advisories/CA-2002-08.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，Oracle建议您采取以下措施以降低威胁：

* 在配置文件“/Apache/modplsql/cfg/wdbsvr.app”加入exclusion_list参数进行访问控制：

exclusion_list= account*, sys.*, dbms_*, owa*

厂商补丁：

Oracle
------
目前厂商已经提供了解决方案以修复这个安全问题，请到厂商的主页下载：


http://otn.oracle.com/deploy/security/pdf/ias_modplsql_alert.pdf

浏览次数：3890
严重程度：0（网友投票）