发布日期：2002-06-06
更新日期：2002-06-11

受影响系统：

Oracle Oracle9i 9.0.2
Oracle Oracle9i 9.0.1
Oracle Oracle9i 9.0

描述：

---

BUGTRAQ  ID: 4955
CVE(CAN) ID: CVE-2002-0965

Oracle 9i是一款企业级的商业大型数据库系统，包含Net Listener服务允许远程连接到数据库。

Oracle 9i的Net Listener服务存在漏洞，可导致远程攻击者进行拒绝服务攻击。

攻击者可以发送一些小数量的数据到配置好的Net Listener服务，就可以导致Oracle Net Listener消耗系统主机的所有CPU时间，导致服务停止响应，产生拒绝服务攻击。

注：此漏洞只存在于Microsoft Windows版本或者VM平台下的Oracle 9i系统。

<*来源：Next Generation Security Software
  
  链接：http://otn.oracle.com/deploy/security/pdf/net9_dos_alert.pdf
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在防火墙上对Net Listener服务进行访问控制，只允许可信用户访问。

厂商补丁：

Oracle
------
Oracle已经为此发布了一个安全公告（OracleSA#34）以及相应补丁:
OracleSA#34：Security vulnerability in Oracle Net (Oracle9i Database Server)
链接：http://otn.oracle.com/deploy/security/pdf/net9_dos_alert.pdf

补丁下载：

Oracle Oracle9i 9.0:

Oracle Patch 2367681
http://metalink.oracle.com

Oracle Oracle9i 9.0.1:

Oracle Patch 2367681
http://metalink.oracle.com

Oracle Oracle9i 9.0.2:

Oracle Patch 2367681
http://metalink.oracle.com

浏览次数：3010
严重程度：0（网友投票）