安全研究
安全漏洞
Oracle9iAS Web Cache权限提升漏洞
发布日期:2001-12-28
更新日期:2002-01-01
受影响系统:Oracle Oracle9iAS Web Cache 2.0.0.2 NT
Oracle Oracle9iAS Web Cache 2.0.0.2
Oracle Oracle9iAS Web Cache 2.0.0.1
Oracle Oracle9iAS Web Cache 2.0.0.0
不受影响系统:Oracle Oracle9iAS Web Cache 2.0.0.3
描述:
BUGTRAQ ID:
3761
CVE(CAN) ID:
CVE-2002-0103
Oracle9iAS Web Cache是一款Oracle 9iAS应用服务程序的WEB缓冲解决方案,提供快速显示动态WEB内容的功能。
Oracle9iAS Web Cache存在设计错误,可以导致本地用户利用此漏洞提升权限来读取受限文件内容。
非特权用户可以通过调用$ORACLE_HOME/webcache/bin/webcached文件来启动Oracle9iAS Web缓冲服务,此文件是setuid oracle属性文件,用户可以指定环境变量和配置文件来导致本地文件被覆盖和以'oracle'用户权限执行任意命令。
<*来源:Peter Gründl (
pgrundl@kpmg.dk)
链接:
http://otn.oracle.com/deploy/security/pdf/webcache2.pdf
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 严格控制服务器本地用户,不要给任何不可信用户访问权限。
厂商补丁:
Oracle
------
Oracle已经为此发布了一个安全公告(OracleSA#27)以及相应补丁:
OracleSA#27:Vulnerabilities in Oracle9i Application Server Web Cache
链接:
http://otn.oracle.com/deploy/security/pdf/webcache2.pdf
Oracle9iAS Web Cache 2.0.0.3版本不存在此漏洞,请使用此版本。
Oracle厂商也已经发布了补丁以修复这个安全问题,请到厂商的主页下载:
http://metalink.oracle.com
补丁号ID: 2131605
浏览次数:3183
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |