发布日期：2002-03-18
更新日期：2002-03-18

受影响系统：

Oracle Oracle8i 9.0.1
Oracle Oracle8i 9.0
Oracle Oracle8i 8.1.7.1
Oracle Oracle8i 8.1.7
Oracle Oracle9iAS Web Cache 2.0.0.3
Oracle Oracle9iAS Web Cache 2.0.0.2 NT
Oracle Oracle9iAS Web Cache 2.0.0.2
Oracle Oracle9iAS Web Cache 2.0.0.1
Oracle Oracle9iAS Web Cache 2.0.0.0

描述：

---

BUGTRAQ  ID: 4292
CVE(CAN) ID: CVE-2002-0561

Oracle 9iAS的Web服务部分是由增加了PL/SQL支持模块的Apache服务器提供。主机上相关的用于管理的Web页面可以使用户修改数据库访问描述符和缓存设置。

Oracle 9iAS的Web管理页面访问控制上存在问题，远程攻击者可能利用此漏洞更改系统设置，造成拒绝服务攻击。

默认安装情况下，对于那些管理页面的访问不需要认证，这就使任意远程攻击者可以通过访问那些管理页面执行某些操作，更改PL/SQL应用程序或者使合法用户不能访问服务器程序。

<*来源：David Litchfield （david@nextgenss[.]com）
  
  链接：http://online.securityfocus.com/bid/4032
        http://www[.]nextgenss[.]com/papers/hpoas.pdf
        http://www.cert.org/advisories/CA-2002-08.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，CERT建议您采取以下措施以降低威胁：

* 在/Apache/modplsql/cfg/wdbsvr.app文件中对可以访问的用户名等相关信息进行设置，确信只有合法用户才能访问。

厂商补丁：

Oracle
------
目前厂商已经提供了解决方案以修复这个安全问题，请到厂商的主页下载：


http://otn.oracle.com/deploy/security/pdf/ias_modplsql_alert.pdf

浏览次数：3546
严重程度：0（网友投票）