首页 -> 安全研究

安全研究

安全漏洞
Oracle Application Server 9i Webcache任意文件破坏漏洞

发布日期:2005-04-29
更新日期:2005-04-29

受影响系统:
Oracle Oracle 9i Application Server Web Cache 9.0.3.1
Oracle Oracle 9i Application Server Web Cache 9.0.2.3
Oracle Oracle 9i Application Server Web Cache 9.0.2.2
Oracle Oracle 9i Application Server Web Cache 2.0.0.4
Oracle Oracle 9i Application Server Web Cache 2.0.0.3
Oracle Oracle 9i Application Server Web Cache 2.0.0.2NT
Oracle Oracle 9i Application Server Web Cache 2.0.0.2
Oracle Oracle 9i Application Server Web Cache 2.0.0.1
Oracle Oracle 9i Application Server Web Cache 2.0.0.0
描述:
BUGTRAQ  ID: 13420
CVE(CAN) ID: CVE-2005-1382

Oracle应用服务器是一个综合解决方案,用于开发、集成和部署企业的应用系统、门户和网站。

Oracle Application Server 9i Webcache中存在任意文件破坏漏洞,起因是没有删除某些参数值中的危险字符,这样攻击者就可以创建包含有到任意目标文件绝对路径的URI。如果有足够权限的用户跟随了这个URI的话,就可能在指定的文件后附加垃圾数据。

<*来源:Alexander Kornbrust (ak@red-database-security.com
  
  链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111472615519295&w=2
        http://www.red-database-security.com/advisory/oracle_webcache_append_file_vulnerabilitiy.html
*>

建议:
厂商补丁:

Oracle
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.oracle.com/ip/deploy/ias/

浏览次数:3049
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障
关于我们
公司介绍
公司荣誉
公司新闻
联系我们
公司总部
分支机构
海外机构
快速链接
绿盟云
绿盟威胁情报中心NTI
技术博客