安全研究
安全漏洞
DB4Web可被作为连接代理使用漏洞
发布日期:2002-09-17
更新日期:2002-09-23
受影响系统:DB4Web DB4Web 3.6
DB4Web DB4Web 3.4
描述:
BUGTRAQ ID:
5725
CVE(CAN) ID:
CVE-2002-1484
DB4Web是一款应用服务程序,允许通过WEB对关系数据库和其他信息资源进行读写访问,此应用程序可使用在Windows、Linux和各类Unix操作系统下。
DB4Web存在设计问题,远程攻击者可以利用这个漏洞使用DB4Web应用程序对任意系统进行端口扫描。
DB4Web对用户提交的数据库访问会生成动态HTML页面,攻击者可以通过提交恶意URL请求操纵服务器对任意指定端口的IP发起连接,应用程序会发送TCP SYN包建立一个连接,TCP连接成功与否DB4Web会生成不同的错误信息,因此可以利用DB4Web服务程序对任意系统进行恶意扫描。
<*来源:Stefan.Bagdohn (
Stefan.Bagdohn@guardeonic.com)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=103236259023441&w=2
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 设置访问控制,只允许可信用户访问DB4Web。
厂商补丁:
DB4Web
------
供应尚认为这不是一个安全问题,这个功能主要为开放者使用。
建议不需要用户使用定制的错误页来代替调试信息页。
浏览次数:2938
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |