发布日期：2002-07-18
更新日期：2002-07-26

受影响系统：

Oracle Oracle9i Reports Server 9.0.2
Oracle Oracle Reports6i 6.0.8.19
Oracle Oracle Reports6i 6.0.8

描述：

---

BUGTRAQ  ID: 5262
CVE(CAN) ID: CVE-2002-1089

Oracle Reports Server是一款Oracle公司开发的强大的WEB报表处理服务程序。

Oracle Reports Server中包含的rwcgi60脚本存在漏洞，远程攻击者可以利用这个漏洞获得服务器信息。

攻击者可以通过直接请求rwcgi60脚本，Oracle Reports Server就会返回包含系统环境、安装软件、WEBROOT安装目录绝对路径等信息的页面。

攻击者可以通过这些信息进一步对系统进行攻击。

<*来源：skp （skp@bigunz.angrypacket.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-07/0203.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 使用访问控制限制用户对rwcgi60的访问。

厂商补丁：

Oracle
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.oracle.com

浏览次数：2748
严重程度：0（网友投票）