发布日期：2003-04-11
更新日期：2003-04-16

受影响系统：

Oracle E-Business Suite 11i 11.8
Oracle E-Business Suite 11i 11.7
Oracle E-Business Suite 11i 11.6
Oracle E-Business Suite 11i 11.5
Oracle E-Business Suite 11i 11.4
Oracle E-Business Suite 11i 11.3
Oracle E-Business Suite 11i 11.2
Oracle E-Business Suite 11i 11.1
Oracle Applications 11.0
Oracle Applications 10.7
Oracle E-Business Suite 11.0
Oracle E-Business Suite 10.7

描述：

---

BUGTRAQ  ID: 7325
CVE(CAN) ID: CVE-2003-1116

Oracle应用系统FNDFS程序，用于从并发管理器(Concurrent Manager server)中获得报告和日志输出。

Oracle FNDFS服务程序使用的通信泄露存在漏洞，远程攻击者可以利用这个漏洞不需要系统或应用程序验证获得服务器上任意文件。

Oracle应用系统的FND文件服务程序，也可称为Report Review Agent(RRA)，它们使用的通信协议存在漏洞，可能允许攻击者从Oracle应用系统并发管理服务器上绕过操作系统，数据库或应用程序验证而获得任意文件。攻击者将以'oracle'或'applmgr'帐户查看系统文件内容。

<*来源：Stephen Kost of Integrigy Corporation. （alerts@integrigy.com）
  
  链接：http://www.integrigy.com/alerts/FNDFS_Vulnerability.htm
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 使用防火墙过滤SQL*Net协议，限制不可信网络访问服务器。

厂商补丁：

Oracle
------
使用Applications Desktop Integrator (ADI)的用户需要安装额外的#2778660补丁，具体可参看'Oracle Security Alert #53'。

补丁下载：

Oracle Applications 10.7:
Oracle E-Business Suite 10.7:
Oracle Applications 11.0:

Oracle Patch 2782950
http://metalink.oracle.com

Oracle E-Business Suite 11.0:
Oracle E-Business Suite 11i 11.1:

Oracle Patch 2782945
http://metalink.oracle.com

Oracle E-Business Suite 11i 11.2:

Oracle Patch 2782945
http://metalink.oracle.com

Oracle E-Business Suite 11i 11.3:

Oracle Patch 2782945
http://metalink.oracle.com

Oracle E-Business Suite 11i 11.4:

Oracle Patch 2782945
http://metalink.oracle.com

Oracle E-Business Suite 11i 11.5:

Oracle Patch 2782945
http://metalink.oracle.com

Oracle E-Business Suite 11i 11.6:

Oracle Patch 2782945
http://metalink.oracle.com

Oracle E-Business Suite 11i 11.7:

Oracle Patch 2782945
http://metalink.oracle.com

Oracle E-Business Suite 11i 11.8:

Oracle Patch 2782945
http://metalink.oracle.com

浏览次数：2957
严重程度：0（网友投票）