发布日期：2002-03-18
更新日期：2002-03-18

受影响系统：

Oracle Oracle 9i Application Server 1.0.2

描述：

---

BUGTRAQ  ID: 4298
CVE(CAN) ID: CVE-2002-0569

Oracle 9iAS软件包中包含了XSQL Servlet程序作为开发XML应用的工具，它可以把来自SQL服务器的查询转换成XML格式。

XSQL Servlet实现上存在问题，远程攻击者可能借此得到服务相关的敏感信息。

Servlet没有正确地实施对文件的访问许可权限，远程攻击者可能利用这个漏洞查看系统的配置文件，这个问题与Bugtraq ID为4290的漏洞相似。

<*来源：David Litchfield （david@nextgenss[.]com）
  
  链接：http://online.securityfocus.com/bid/4032
        http://www[.]nextgenss[.]com/papers/hpoas.pdf
        http://www.cert.org/advisories/CA-2002-08.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，David Litchfield 建议您采取以下措施以降低威胁：

* 对那些文件设置合适的访问权限。

厂商补丁：

Oracle
------
目前厂商已经提供了解决方案以修复这个安全问题，请到厂商的主页下载：


http://otn.oracle.com/deploy/security/pdf/ojvm_alert.pdf

浏览次数：3112
严重程度：0（网友投票）