发布日期：2002-02-06
更新日期：2002-02-10

受影响系统：

Oracle Oracle 9i Application Server
Oracle Oracle9i 9.0.1
Oracle Oracle9i 9.0

描述：

---

BUGTRAQ  ID: 4034
CVE(CAN) ID: CVE-2002-0562

Oracle 9iAS(Application Server)的web服务使用的是Apache Web Server，它提供了多种应用环境，包括SOAP，PL/SQL，XSQL以及JSP。

Oracle 9iAS的OracleJSP环境中存在一个安全问题，允许远程攻击者获取翻译后的JSP页面的源代码。另外一个问题允许攻击者获取globals.jsa文件的内容。

当用户向运行OracleJSP的服务器请求一个JSP页面时，该JSP页面会首先被翻译，然后编译、执行，并将执行结果返回给客户端。在此过程中，三个临时文件会被创建。如果请求的JSP页面为“foo.jsp”，那三个临时文件就是：

_foo$__jsp_StaticText.class
_foo.class
_foo.java

它们会被保存在“/_pages”目录下。如果foo.jsp保存在子目录“bar”下，则上述临时文件会保存在“/_pages/_bar”下。由于翻译后的.java文件中包含JSP源代码，而这些文件又都可以直接通过WEB接口访问，攻击者就可能获取一些敏感信息，例如Oracle数据库的用户名和口令。

另外，如果JSP应用程序使用globals.jsa文件来保存全局设置，攻击者也可以直接访问该文件并获取其内容，如果其中包含一些敏感信息，也同样可能导致较严重的安全问题。

<*来源：NGSSoftware Insight Security Research （nisr@nextgenss.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-02/0008.html
        http://www.nextgenss.com/advisories/orajsp.txt
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在边界防火墙或者主机防火墙上限制不可信用户对Oracle Apache web server 80/TCP端口的访问。

* 编辑$ORACLE_HOME$/apache/apache/conf/httpd.conf文件：
  为了阻止访问globals.jsa文件，增加下列语句：

  <Files ~ "^\globals.jsa">
      Order allow,deny
      Deny from all
  </Files>
  
  为了阻止访问.java文件，增加下列语句：
  
  <Location /_pages>
      Order deny,allow
      Deny from all
  </Location>
  
  如果JSP文件保存在一个别名目录中（例如不是在"htdocs"的子目录下），那么您必须增加下列语句：
  
  <Location /dirname/_pages>
      Order deny,allow
      Deny from all
  </Location>
  
  上面的“dirname”是别名目录的目录名。

厂商补丁：

Oracle
------
Oracle已经为此漏洞提供了相应补丁程序，NSFOCUS建议您随时关注厂商主页以获取相关补丁：

http://metalink.oracle.com

浏览次数：3711
严重程度：0（网友投票）