发布日期：2002-04-05
更新日期：2002-04-09

受影响系统：

Oracle Configurator 11.0 i

描述：

---

Oracle Configurator提供贯穿整个企业的交互式架构与批量验证，范围覆盖制造，销售与服务应用的系统，由ORACLE公司开发和维护。

Oracle Configurator对用户的输入缺少正确的检查，可导致攻击者进行跨站脚本执行攻击。

攻击者可以对oracle.apps.cz.servlet.UiServlet中的test参数提交包含恶意脚本代码的字符串，当浏览用户浏览由'oracle.apps.cz.servlet.UiServlet' 返回的页面时，可导致恶意脚本代码在用户端的浏览器上被执行，一些基于Cookie认证的敏感信息会泄露给攻击者。

所有在Internet上使用Oracle Configurator和使用Text Features和DHTML UI的客户都可能受此漏洞的影响。

<*链接：http://otn.oracle.com/deploy/security/htdocs/oconfigvul.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 编译jserv.properties文件，请增加如下内容：

oracle.apps.cz.uiservlet.versionFuncsAvail=false

厂商补丁：

Oracle
------
目前厂商已经发布了升级补丁以修复这个安全问题，请联系ORACLE供应商获得CZ补丁集H和BUILD号码为17.32，16.53的G，F补丁集。

浏览次数：4037
严重程度：0（网友投票）