发布日期：2005-04-29
更新日期：2005-04-29

受影响系统：

Oracle Oracle10g Application Server 10.1.2
Oracle Oracle10g Application Server 10.1.0.3.1
Oracle Oracle10g Application Server 10.1.0.3
Oracle Oracle10g Application Server 10.1.0.2

描述：

---

BUGTRAQ  ID: 13418
CVE(CAN) ID: CVE-2005-1383

Oracle应用服务器10g是一个综合解决方案，用于开发、集成和部署企业的应用系统、门户和网站。Oracle HTTP Server是其中的一个组件。

Oracle Application Server的Oracle HTTP Server（OHS）存在访问限制绕过漏洞。

用户可以使用mod_access在OHS上配置禁止URI的列表，表中列出的URI就不应被某些客户端访问，具体取决于配置。但是，无论OHS mod_access的限制如何，攻击者都可以使用Oracle Webcache客户端访问URI。

<*来源：Alexander Kornbrust （ak@red-database-security.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=111472266123952&w=2
        http://www.red-database-security.com/advisory/oracle_webcache_bypass.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：
* 在httpd.conf中添加新的参数UseWebCacheIP ON。

厂商补丁：

Oracle
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.oracle.com

浏览次数：3282
严重程度：0（网友投票）