安全研究

安全漏洞
Oracle WebDB PL/SQL Proxy访问安全漏洞

发布日期:2000-12-28
更新日期:2000-12-28

受影响系统:

Oracle Internet Application Server 3.0.7以及更低版本
   - Sun Solaris 8.0
   - Sun Solaris 7.0
   - Sun Solaris 2.6
   - Sun Solaris 2.5.1
   - S.u.S.E. Linux 7.0
   - S.u.S.E. Linux 6.4
   - RedHat Linux 7.0
   - RedHat Linux 6.2 i386
   - Debian Linux 2.2
描述:

Oracle WebDB是Oracle Internet Application Server(IAS)软件包的一部分。
它存在一个安全漏洞,允许远程攻击者对受限资源进行非法访问。

这个问题是由于WebDB Engine可以接受HTTP请求对数据库的查询。通过发送一
个定制的HTTP请求,远程攻击者可以获取一些数据库的敏感信息例如DAD名字。
攻击者也可以利用这些信息来通过web接口提交SQL查询语句。攻击者可以非法
查询数据库,也可能进一步控制数据库中的数据。

<*来源:Michal Zalewski (lcamtuf@tpi.pl) *>   
   


测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!


http://www.oracle.com/pls/oracle8i/select%09something...
http://www.oracle.com/pls/oracle8i/%0aselect%09something...


建议:

暂无。

浏览次数:5787
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障