发布日期：2001-12-28
更新日期：2002-01-01

受影响系统：

Oracle Oracle9iAS Web Cache 2.0.0.2 NT
Oracle Oracle9iAS Web Cache 2.0.0.2
Oracle Oracle9iAS Web Cache 2.0.0.1
Oracle Oracle9iAS Web Cache 2.0.0.0

不受影响系统：

Oracle Oracle9iAS Web Cache 2.0.0.3

描述：

---

BUGTRAQ  ID: 3760
CVE(CAN) ID: CVE-2002-0102

Oracle9iAS Web Cache是一款Oracle 9iAS应用服务程序的WEB缓冲解决方案，提供快速显示动态WEB内容。

Oracle9iAS Web Cache存在漏洞，通过提交包含多个NULL字符的请求给Web缓冲服务，可导致服务器程序崩溃。

攻击者可以通过通过1100、4000、4001、4002端口提交多个恶意请求到WEB缓冲服务，并且这些请求中包含多个NULL字符('%00')可导致服务停止响应，造成拒绝服务攻击。


<*来源：Peter Gründl （pgrundl@kpmg.dk）
  
  链接：http://otn.oracle.com/deploy/security/pdf/webcache2.pdf
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在边界防火墙或者主机防火墙上限制对Oracle9iAS Web Cache 1100, 4000, 4001, 4002/TCP端口的访问。

厂商补丁：

Oracle
------
Oracle已经为此发布了一个安全公告（OracleSA#27）以及相应补丁:
OracleSA#27：Vulnerabilities in Oracle9i Application Server Web Cache
链接：http://otn.oracle.com/deploy/security/pdf/webcache2.pdf

Oracle9iAS Web Cache 2.0.0.3版本不存在此漏洞，请使用此版本。

Oracle厂商也已经发布了补丁以修复这个安全问题，请到厂商的主页下载：

http://metalink.oracle.com

补丁号ID:  2131605

浏览次数：3048
严重程度：0（网友投票）