资源交流吧:VIP  | 网站首页 | 文章中心 | 下载中心 | 图片中心 | 雁过留声 | 音乐无限 | 互动书吧 | BT下载 | 留学频道 |  {$Wap}
您现在的位置: 九佰度在线 九佰度空间 >> 文章中心 >> 黑客前沿 >> 漏洞公告 >> 文章正文 用户登录 新用户注册
Oracle PL/SQL Gateway PLSQLExclusion访问控制列表绕过漏洞           ★★★ 【字体:


Oracle PL/SQL Gateway PLSQLExclusion访问控制列表绕过漏洞
作者:未知    文章来源:来自网络    点击数:    更新时间:2006-2-11
0
发布日期:2006-01-27 
更新日期:2006-01-27 

受影响系统: 
Oracle Internet Application Server 1.0.2.1 
Oracle Internet Application Server 1.0.2.0 
Oracle Oracle10g Application Server 9.0.4.2 
Oracle Oracle10g Application Server 9.0.4.1 
Oracle Oracle10g Application Server 9.0.4.0 
Oracle Oracle10g Application Server 10.1.2.1.0 
Oracle Oracle10g Application Server 10.1.2.0.2 
Oracle Oracle10g Application Server 10.1.2.0.1 
Oracle Oracle10g Application Server 10.1.2 
Oracle Oracle10g Application Server 10.1.0.4 
Oracle Oracle10g Application Server 10.1.0.3.1 
Oracle Oracle10g Application Server 10.1.0.3 
Oracle Oracle10g Application Server 10.1.0.2 
Oracle Oracle9i Application Server 9.2.0.7 
Oracle Oracle9i Application Server 9.2.0.6 
Oracle Oracle9i Application Server 9.0.3.1 
Oracle Oracle9i Application Server 9.0.3 
Oracle Oracle9i Application Server 9.0.2.3 
Oracle Oracle9i Application Server 9.0.2.2 
Oracle Oracle9i Application Server 9.0.2.1 
Oracle Oracle9i Application Server 9.0.2.0.1 
Oracle Oracle9i Application Server 9.0.2.0.0 
Oracle Oracle9i Application Server 9.0.2 
Oracle Oracle9i Application Server 1.0.2.2.2 
Oracle Oracle9i Application Server 1.0.2.2 
Oracle Oracle9i Application Server 1.0.2.1s 
Oracle Oracle9i Application Server 1.0.2 
Oracle HTTP Server 9.2.0 
Oracle HTTP Server 9.1 
Oracle HTTP Server 9.0.3.1 
Oracle HTTP Server 9.0.2.3 
Oracle HTTP Server 9.0.2.3 
Oracle HTTP Server 9.0.2 
Oracle HTTP Server 9.0.1 
Oracle HTTP Server 8.1.7 
Oracle HTTP Server 1.0.2.2 Roll up 2 
Oracle HTTP Server 1.0.2.2 
Oracle HTTP Server 1.0.2.1 
Oracle HTTP Server 1.0.2.0 
描述: 
-------------------------------------------------------------------------------- 
BUGTRAQ  ID: 16384 

Oracle Database是一款大型商业数据库系统。 

Oracle Database的组件PL/SQL Gateway在访问控制列表的实现上存在漏洞,攻击者可能利用此漏洞完全控制数据系统。 

由于访问控制实现上的问题,攻击者可能绕过PLSQLExclusion列表的限制非授权地访问到被禁止访问的存储过程,从而完全获取数据库的DBA权限。 

<*来源:David Litchfield (david@nextgenss.com) 
   
  链接:http://marc.theaimsgroup.com/?l=bugtraq&m=113821380831850&w=2 
*> 

建议: 
-------------------------------------------------------------------------------- 
临时解决方法: 

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁: 

* 使用mod_rewrite来过滤恶意请求。 

在httpd.conf文件增加如下的配置项: 

RewriteEngine on 
RewriteCond %{QUERY_STRING} ^.*\).*|.*%29.*$ 
RewriteRule ^.*$ http://127.0.0.1/denied.htm?attempted-attack 
RewriteRule ^.*\).*|.*%29.*$ http://127.0.0.1/denied.htm?attempted-attack 

重启Web服务器。 

厂商补丁: 

Oracle 
------ 
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: 

http://www.oracle.com

[1]
文章录入:qq007    责任编辑:qq007 
  • 上一篇文章:

  • 下一篇文章:
    • 发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
    		 本类热门文章
    普通文章泰航空姐在曼谷新国际机场屡11-22
    普通文章俄罗斯最后一颗军事间谍卫星11-22
    普通文章英国成为欧洲最大性奴交易市11-22
    普通文章朝鲜称将坚决报复日本对其实11-22
    普通文章中情局被指谋杀肯尼迪兄弟 11-22
    普通文章布什访问印尼引起大规模抗议11-22
    普通文章东南亚许多儿童成为卖淫活动11-22
    普通文章英国妇女两次怀上三胞胎医学11-22
    		 最新推荐文章
    普通文章泰航空姐在曼谷新国际机场屡11-22
    普通文章俄罗斯最后一颗军事间谍卫星11-22
    普通文章英国成为欧洲最大性奴交易市11-22
    普通文章朝鲜称将坚决报复日本对其实11-22
    普通文章中情局被指谋杀肯尼迪兄弟 11-22
    普通文章布什访问印尼引起大规模抗议11-22
    普通文章东南亚许多儿童成为卖淫活动11-22
    普通文章英国妇女两次怀上三胞胎医学11-22
    		 最新文章
    普通文章泰航空姐在曼谷新国际机场屡11-22
    普通文章俄罗斯最后一颗军事间谍卫星11-22
    普通文章英国成为欧洲最大性奴交易市11-22
    普通文章朝鲜称将坚决报复日本对其实11-22
    普通文章中情局被指谋杀肯尼迪兄弟 11-22
    普通文章布什访问印尼引起大规模抗议11-22
    普通文章东南亚许多儿童成为卖淫活动11-22
    普通文章英国妇女两次怀上三胞胎医学11-22
     文章评论(评论内容只代表网友观点,与本站立场无关!发表评论
    007在线工作室 版权所有 未经许可 严禁复制本站页面以及盗取资源链接
    Copyright© 2005-2006 使用800*600像素访问本站将达到最佳效果 苏ICP备05042773号