Oracle9iAS Web Cache权限提升漏洞

漏洞信息详情

Oracle9iAS Web Cache权限提升漏洞

• CNNVD编号：CNNVD-200203-066
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0103
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2001-12-28
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  oracle
• 漏洞来源：
  Peter Gründl※ pgru…

Oracle9iAS Web Cache是一款Oracle 9iAS应用服务程序的WEB缓冲解决方案，提供快速显示动态WEB内容的功能。
Oracle9iAS Web Cache存在设计错误，可以导致本地用户利用此漏洞提升权限来读取受限文件内容。
非特权用户可以通过调用$ORACLE_HOME/webcache/bin/webcached文件来启动Oracle9iAS Web缓冲服务，此文件是setuid oracle属性文件，用户可以指定环境变量和配置文件来导致本地文件被覆盖和以\’\’oracle\’\’用户权限执行任意命令。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 严格控制服务器本地用户，不要给任何不可信用户访问权限。
厂商补丁：
Oracle
——
Oracle已经为此发布了一个安全公告(OracleSA#27)以及相应补丁:

OracleSA#27：Vulnerabilities in Oracle9i Application Server Web Cache

链接：http://otn.oracle.com/deploy/security/pdf/webcache2.pdf” target=”_blank”>
http://otn.oracle.com/deploy/security/pdf/webcache2.pdf

Oracle9iAS Web Cache 2.0.0.3版本不存在此漏洞，请使用此版本。

Oracle厂商也已经发布了补丁以修复这个安全问题，请到厂商的主页下载：

http://metalink.oracle.com” target=”_blank”>
http://metalink.oracle.com

补丁号ID: 2131605

来源: otn.oracle.com
链接:http://otn.oracle.com/deploy/security/pdf/webcache2.pdf

来源: BUGTRAQ
名称: 20020107 [PTL-2002-01] Vulnerabilities in Oracle9iAS Web Cache
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101041510727937&w=2

来源: BID
名称: 3764
链接:http://www.securityfocus.com/bid/3764

来源: BID
名称: 3761
链接:http://www.securityfocus.com/bid/3761

来源: XF
名称: oracle-appserver-webcache-password(7768)
链接:http://www.iss.net/security_center/static/7768.php

来源: XF
名称: oracle-appserver-webcached-privileges(7766)
链接:http://www.iss.net/security_center/static/7766.php