发布日期：2002-08-13
更新日期：2002-08-18

受影响系统：

Oracle Oracle 9i Application Server 9.0.2
Oracle Oracle 9i Application Server 1.0.2.2
Oracle Oracle 9i Application Server 1.0.2.1s
Oracle Oracle 9i Application Server 1.0.2

描述：

---

BUGTRAQ  ID: 5452

Oracle 9iAS(Application Server)的Web服务使用的是Apache Web Server，它提供了多种应用环境，包括SOAP、PL/SQL、XSQL以及JSP。

Oracle 9iAS包含的多个示例JSP脚本对用户提交的输入缺少检查，远程攻击者可以利用这个漏洞进行跨站脚本执行攻击。

Oracle 9iAS应用服务器存在3个示例JSP脚本，对用户通过表单文本字段提交的数据缺少正确的过滤，攻击者可以在提交的数据中插入恶意HTML或者Javascript代码，当其他用户查看包含恶意脚本代码的链接时，可导致脚本代码在用户浏览器上执行，使基于Cookie的认证信息泄露等恶意操作。这些数据也可以通过把恶意脚本代码提交给CGI查询字符串中的参数而触发。

这这个JSP脚本代码为：'hellouser.jsp'、'welcomeuser.jsp'和'usebean.jsp'，默认的URL为：

http://host:7778/ojspdemos/basic/hellouser/hellouser.jsp
http://host:7778/ojspdemos/basic/simple/welcomeuser.jsp
http://host:7778/ojspdemos/basic/simple/usebean.jsp

请求上面这些URL，在文本字段中输入“<script>alert(document.cookie)</script>”等类似数据，可导致用户“JSESSIONID”值泄露。

<*来源：Matt Moore （matt@westpoint.ltd.uk）
  
  链接：http://otn.oracle.com/deploy/security/pdf/2002alert41rev1.pdf
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 建议删除这些OJSP示例脚本。通过删除下面URL中受此漏洞影响的JSP文件可以关闭OJSP示例：

/ora9ias/j2ee/OC4J_Demos/applications/ojspdemos/ojspdemos-web/basic/simple
/ora9ias/j2ee/OC4J_Demos/applications/ojspdemos/ojspdemos-web/basic/hellouser

厂商补丁：

Oracle
------
Oracle已经为此发布了一个安全公告（OracleSA#41）以及相应补丁:
OracleSA#41：Oracle9i Application Server Oracle Java Server Page (OJSP) Demos Vulnerability
链接：http://otn.oracle.com/deploy/security/pdf/2002alert41rev1.pdf

Oracle将在Oracle9i Application Server Release 9.0.3版本中修补这个漏洞。

http://metalink.oracle.com

浏览次数：5006
严重程度：0（网友投票）