安全研究

安全漏洞
Webcache客户端请求绕过OHS mod_access限制

发布日期:2005-04-29
更新日期:2005-04-29

受影响系统:
Oracle Oracle10g Application Server 10.1.2
Oracle Oracle10g Application Server 10.1.0.3.1
Oracle Oracle10g Application Server 10.1.0.3
Oracle Oracle10g Application Server 10.1.0.2
描述:
BUGTRAQ  ID: 13418
CVE(CAN) ID: CVE-2005-1383

Oracle应用服务器10g是一个综合解决方案,用于开发、集成和部署企业的应用系统、门户和网站。Oracle HTTP Server是其中的一个组件。

Oracle Application Server的Oracle HTTP Server(OHS)存在访问限制绕过漏洞。

用户可以使用mod_access在OHS上配置禁止URI的列表,表中列出的URI就不应被某些客户端访问,具体取决于配置。但是,无论OHS mod_access的限制如何,攻击者都可以使用Oracle Webcache客户端访问URI。

<*来源:Alexander Kornbrust (ak@red-database-security.com
  
  链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111472266123952&w=2
        http://www.red-database-security.com/advisory/oracle_webcache_bypass.html
*>

建议:
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 在httpd.conf中添加新的参数UseWebCacheIP ON。

厂商补丁:

Oracle
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.oracle.com

浏览次数:3294
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障