发布日期：2002-05-27
更新日期：2002-06-03

受影响系统：

Oracle Application Server 4.0.82
Oracle Application Server 4.0.8

描述：

---

BUGTRAQ  ID: 4844
CVE(CAN) ID: CVE-2002-1638

Application Server是一款商业性质Web应用开发系统，由Oracle公司分发和维护。

Application Server存在格式化串溢出漏洞，可导致远程攻击者以Web进程的权限在目标系统上执行任意指令。

Oracle TNSListener存在格式化串溢出漏洞，导致攻击者可以通过精心提供格式字符串数据导致写内存任意数据，从而以Web进程的权限在目标系统上执行任意指令。

在Oracle提供补丁之后，NGSSoftware将提供详细技术细节。

<*来源：Next Generation Security Software
  
  链接：http://www.nextgenss.com/vna/ora-ias.txt
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在防火墙对Oracle Application Server PL/SQL进行访问控制，只允许可信用户访问。

厂商补丁：

Oracle
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.oracle.com

浏览次数：4081
严重程度：0（网友投票）