安全研究
安全漏洞
Oracle WebDB PL/SQL Proxy访问安全漏洞
发布日期:2000-12-28
更新日期:2000-12-28
受影响系统:
Oracle Internet Application Server 3.0.7以及更低版本
- Sun Solaris 8.0
- Sun Solaris 7.0
- Sun Solaris 2.6
- Sun Solaris 2.5.1
- S.u.S.E. Linux 7.0
- S.u.S.E. Linux 6.4
- RedHat Linux 7.0
- RedHat Linux 6.2 i386
- Debian Linux 2.2
描述:
Oracle WebDB是Oracle Internet Application Server(IAS)软件包的一部分。
它存在一个安全漏洞,允许远程攻击者对受限资源进行非法访问。
这个问题是由于WebDB Engine可以接受HTTP请求对数据库的查询。通过发送一
个定制的HTTP请求,远程攻击者可以获取一些数据库的敏感信息例如DAD名字。
攻击者也可以利用这些信息来通过web接口提交SQL查询语句。攻击者可以非法
查询数据库,也可能进一步控制数据库中的数据。
<*来源:Michal Zalewski (
lcamtuf@tpi.pl) *>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://www.oracle.com/pls/oracle8i/select%09something...
http://www.oracle.com/pls/oracle8i/%0aselect%09something...
建议:
暂无。
浏览次数:5787
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |