安全研究

安全漏洞
PeopleSoft PeopleTools搜索信息泄露漏洞

发布日期:2003-10-07
更新日期:2003-10-20

受影响系统:
PeopleSoft PeopleTools 8.42
PeopleSoft PeopleTools 8.41
PeopleSoft PeopleTools 8.40
PeopleSoft PeopleTools 8.4
PeopleSoft PeopleTools 8.19
PeopleSoft PeopleTools 8.18
PeopleSoft PeopleTools 8.17
PeopleSoft PeopleTools 8.16
PeopleSoft PeopleTools 8.15
PeopleSoft PeopleTools 8.14
PeopleSoft PeopleTools 8.13
PeopleSoft PeopleTools 8.12
PeopleSoft PeopleTools 8.11
PeopleSoft PeopleTools 8.10
描述:
BUGTRAQ  ID: 8788

PeopleSoft企业软件集成多个商务功能,包括人事、客户关系、供求关系、财务等管理。

PeopleTools包含的"grid"功能可导致信息泄露,远程攻击者可以利用这个漏洞获得系统敏感信息。

PeopleTools的"grid"功能提供用户可以保存搜索到本地.xls文件中,但是当调用"grid"功能时,搜索日志会以不安全的方式存储在PeopleTools服务器中,特别是临时文件以不安全的权限存储,因此攻击者可以通过提交请求查看这些文件,获得系统敏感信息。

这个临时文件大约保留5分钟,当时间到后会删除此文件。

<*来源:Barrett McGuire
        Larry Wargo
        Matt Fotter
  
  链接:http://marc.theaimsgroup.com/?l=bugtraq&m=106554919000847&w=2
*>

建议:
厂商补丁:

PeopleSoft
----------
PeopleSoft发布了Solution ID 200749183来修正这个问题,客户可以联系供应商获得此补丁。

http://www.peoplesoft.com/corp/en/products/technology/ptools/index.asp

浏览次数:2814
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障