Oracle 9iAS SOAP默认配置漏洞

漏洞信息详情

Oracle 9iAS SOAP默认配置漏洞

• CNNVD编号：CNNVD-200202-002
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2001-1371
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2002-02-06
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  oracle
• 漏洞来源：
  David Litchfield※ …

Oracle 9iAS是一种大型的关系数据库系统，由Oracle公司开发和维护。 它支持简单对象访问协议(SOAP)协议，它是一种基于XML的协议，Oracle用它来对数据库服务进行Web管理。
Oracle 9iAS 1.0.2.2.1缺省安装并使能了SOAP组件，远程攻击者无须认证即可配置或关闭(deploy/undploy)SOAP的提供者及服务。
与其它漏洞结合，攻击者可能进行更进一步的破坏。

临时解决方法：
如果您不能立刻安装补丁或者升级，David Litchfield 建议您采取以下措施以降低威胁：

* 如果您不需要SOAP组件，您应该立刻关闭SOAP。

编辑”$ORACLE_HOME/Apache/Jserv/etc/jserv.conf”配置文件，删除或者注释掉下面的行：

ApJServGroup group2 1 1

$ORACLE_HOME/Apache/Jserv/etc/jservSoap.properties

ApJServMount /soap/servlet ajpv12://localhost:8200/soap

ApJServMount /dms2 ajpv12://localhost:8200/soap

ApJServGroupMount /soap/servlet balance://group2/soap

* 如果您需要SOAP，您应该关闭它的自动deploy功能。

编辑”$ORACLE_HOME/soap/werbapps/soap/WEB-INF/config/soapConfig.xml”文件，加入以下的行：

* 限制访问SOAP deploy/undeploy功能的用户，应该只有管理员和可信用户可以使用此功能。
厂商补丁：
Oracle
——
目前厂商已经提供了解决方案以修复这个安全问题，请参看下列厂商安全公告：

http://technet.oracle.com/deploy/security/pdf/ias_soap_alert.pdf” target=”_blank”>
http://technet.oracle.com/deploy/security/pdf/ias_soap_alert.pdf

来源:CERT/CC Advisory: CA-2002-08
名称: CA-2002-08
链接:http://www.cert.org/advisories/CA-2002-08.html

来源:US-CERT Vulnerability Note: VU#736923
名称: VU#736923
链接:http://www.kb.cert.org/vuls/id/736923

来源: BID
名称: 4289
链接:http://www.securityfocus.com/bid/4289

来源: www.nextgenss.com
链接:http://www.nextgenss.com/papers/hpoas.pdf

来源: XF
名称: oracle-appserver-soap-components(8449)
链接:http://www.iss.net/security_center/static/8449.php

来源: technet.oracle.com
链接:http://technet.oracle.com/deploy/security/pdf/ias_soap_alert.pdf

来源: BUGTRAQ
名称: 20020206 Hackproofing Oracle Application Server paper
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101301813117562&w=2