发布日期：2002-02-26
更新日期：2002-03-18

受影响系统：

Oracle Oracle 9i Application Server 1.0.2

描述：

---

BUGTRAQ  ID: 4289
CVE(CAN) ID: CVE-2001-1371

Oracle 9iAS是一种大型的关系数据库系统，由Oracle公司开发和维护。 它支持简单对象访问协议（SOAP）协议，它是一种基于XML的协议，Oracle用它来对数据库服务进行Web管理。

Oracle 9iAS 1.0.2.2.1缺省安装并使能了SOAP组件，远程攻击者无须认证即可配置或关闭(deploy/undploy)SOAP的提供者及服务。

与其它漏洞结合，攻击者可能进行更进一步的破坏。

<*来源：David Litchfield （david@nextgenss.com）
  
  链接：http://www.kb.cert.org/vuls/id/736923
        http://www.nextgenss.com/papers/hpoas.pdf
        http://www.cert.org/advisories/CA-2002-08.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，David Litchfield 建议您采取以下措施以降低威胁：

* 如果您不需要SOAP组件，您应该立刻关闭SOAP。
编辑“$ORACLE_HOME/Apache/Jserv/etc/jserv.conf”配置文件，删除或者注释掉下面的行：

ApJServGroup group2 1 1
$ORACLE_HOME/Apache/Jserv/etc/jservSoap.properties
ApJServMount /soap/servlet ajpv12://localhost:8200/soap
ApJServMount /dms2 ajpv12://localhost:8200/soap
ApJServGroupMount /soap/servlet balance://group2/soap

* 如果您需要SOAP，您应该关闭它的自动deploy功能。
编辑“$ORACLE_HOME/soap/werbapps/soap/WEB-INF/config/soapConfig.xml”文件，加入以下的行：

<osc:option name="autoDeploy" value="false" />

* 限制访问SOAP deploy/undeploy功能的用户，应该只有管理员和可信用户可以使用此功能。

厂商补丁：

Oracle
------
目前厂商已经提供了解决方案以修复这个安全问题，请参看下列厂商安全公告：

http://technet.oracle.com/deploy/security/pdf/ias_soap_alert.pdf

浏览次数：3976
严重程度：0（网友投票）