发布日期：2002-02-06
更新日期：2002-03-18

受影响系统：

Oracle Oracle 9i Application Server 1.0.2
Oracle Oracle8i 9.0.1
Oracle Oracle8i 9.0
Oracle Oracle8i 8.1.7.1
Oracle Oracle8i 8.1.7

描述：

---

BUGTRAQ  ID: 4290
CVE(CAN) ID: CVE-2002-0568

Oracle 9iAS包含了两个重要的配置文件叫“XSQLConfig.xml”和“soapConfig.xml”，它们分别是XSQL和SOAP组件的配置文件，其中存放了一些敏感信息比如数据库服务器主机名、数据库用户名和口令等等。

Oracle 9iAS在这两个敏感文件的访问控制上存在问题，导致远程攻击者可能得到其中的信息。

Oracle 9iAS对这些配置文件的访问没有做任何认证，任何客户端可以轻易地通过Web虚拟目录访问到这两个文件。

<*来源：David Litchfield （david@nextgenss.com）
  
  链接：http://www.kb.cert.org/vuls/id/476619
        http://www.nextgenss.com/papers/hpoas.pdf
        http://www.cert.org/advisories/CA-2002-08.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，Oracle建议您采取以下措施以降低威胁：

* 对两个配置文件设置正确的访问权限，禁止匿名用户访问。

厂商补丁：

Oracle
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://metalink.oracle.com/

浏览次数：3534
严重程度：0（网友投票）