Oracle 9iAS SOAP默认配置漏洞
发布日期:2002-02-26
更新日期:2002-03-18
受影响系统:Oracle Oracle 9i Application Server 1.0.2
描述:
BUGTRAQ ID:
4289
CVE(CAN) ID:
CVE-2001-1371
Oracle 9iAS是一种大型的关系数据库系统,由Oracle公司开发和维护。 它支持简单对象访问协议(SOAP)协议,它是一种基于XML的协议,Oracle用它来对数据库服务进行Web管理。
Oracle 9iAS 1.0.2.2.1缺省安装并使能了SOAP组件,远程攻击者无须认证即可配置或关闭(deploy/undploy)SOAP的提供者及服务。
与其它漏洞结合,攻击者可能进行更进一步的破坏。
<*来源:David Litchfield (
david@nextgenss.com)
链接:
http://www.kb.cert.org/vuls/id/736923
http://www.nextgenss.com/papers/hpoas.pdf
http://www.cert.org/advisories/CA-2002-08.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,David Litchfield 建议您采取以下措施以降低威胁:
* 如果您不需要SOAP组件,您应该立刻关闭SOAP。
编辑“$ORACLE_HOME/Apache/Jserv/etc/jserv.conf”配置文件,删除或者注释掉下面的行:
ApJServGroup group2 1 1
$ORACLE_HOME/Apache/Jserv/etc/jservSoap.properties
ApJServMount /soap/servlet ajpv12://localhost:8200/soap
ApJServMount /dms2 ajpv12://localhost:8200/soap
ApJServGroupMount /soap/servlet balance://group2/soap
* 如果您需要SOAP,您应该关闭它的自动deploy功能。
编辑“$ORACLE_HOME/soap/werbapps/soap/WEB-INF/config/soapConfig.xml”文件,加入以下的行:
<osc:option name="autoDeploy" value="false" />
* 限制访问SOAP deploy/undeploy功能的用户,应该只有管理员和可信用户可以使用此功能。
厂商补丁:
Oracle
------
目前厂商已经提供了解决方案以修复这个安全问题,请参看下列厂商安全公告:
http://technet.oracle.com/deploy/security/pdf/ias_soap_alert.pdf浏览次数:3976
严重程度:0(网友投票)