发布日期：2000-12-28
更新日期：2000-12-28

受影响系统：

Oracle Internet Application Server 3.0.7以及更低版本
   - Sun Solaris 8.0
   - Sun Solaris 7.0
   - Sun Solaris 2.6
   - Sun Solaris 2.5.1
   - S.u.S.E. Linux 7.0
   - S.u.S.E. Linux 6.4
   - RedHat Linux 7.0
   - RedHat Linux 6.2 i386
   - Debian Linux 2.2

描述：

---

Oracle WebDB是Oracle Internet Application Server(IAS)软件包的一部分。
它存在一个安全漏洞，允许远程攻击者对受限资源进行非法访问。

这个问题是由于WebDB Engine可以接受HTTP请求对数据库的查询。通过发送一
个定制的HTTP请求,远程攻击者可以获取一些数据库的敏感信息例如DAD名字。
攻击者也可以利用这些信息来通过web接口提交SQL查询语句。攻击者可以非法
查询数据库，也可能进一步控制数据库中的数据。

<*来源：Michal Zalewski (lcamtuf@tpi.pl) *>   
   


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.oracle.com/pls/oracle8i/select%09something...
http://www.oracle.com/pls/oracle8i/%0aselect%09something...


建议：

---

暂无。

浏览次数：5780
严重程度：0（网友投票）