Oracle 9iAS OracleJSP泄漏JSP文件信息漏洞

漏洞信息详情

Oracle 9iAS OracleJSP泄漏JSP文件信息漏洞

• CNNVD编号：CNNVD-200207-044
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0565
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-02-06
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  oracle
• 漏洞来源：
  NGSSoftware Insigh…

Oracle 9iAS(Application Server)的web服务使用的是Apache Web Server，它提供了多种应用环境，包括SOAP，PL/SQL，XSQL以及JSP。
Oracle 9iAS的OracleJSP环境中存在一个安全问题，允许远程攻击者获取翻译后的JSP页面的源代码。另外一个问题允许攻击者获取globals.jsa文件的内容。
当用户向运行OracleJSP的服务器请求一个JSP页面时，该JSP页面会首先被翻译，然后编译、执行，并将执行结果返回给客户端。在此过程中，三个临时文件会被创建。如果请求的JSP页面为\”foo.jsp\”，那三个临时文件就是：
_foo$__jsp_StaticText.class
_foo.class
_foo.java
它们会被保存在\”/_pages\”目录下。如果foo.jsp保存在子目录\”bar\”下，则上述临时文件会保存在\”/_pages/_bar\”下。由于翻译后的.java文件中包含JSP源代码，而这些文件又都可以直接通过WEB接口访问，攻击者就可能获取一些敏感信息，例如Oracle数据库的用户名和口令。
另外，如果JSP应用程序使用globals.jsa文件来保存全局设置，攻击者也可以直接访问该文件并获取其内容，如果其中包含一些敏感信息，也同样可能导致较严重的安全问题。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 在边界防火墙或者主机防火墙上限制不可信用户对Oracle Apache web server 80/TCP端口的访问。

* 编辑$ORACLE_HOME$/apache/apache/conf/httpd.conf文件：

为了阻止访问globals.jsa文件，增加下列语句：

Order allow,deny

Deny from all

为了阻止访问.java文件，增加下列语句：

Order deny,allow

Deny from all

如果JSP文件保存在一个别名目录中(例如不是在”htdocs”的子目录下)，那么您必须增加下列语句：

Order deny,allow

Deny from all

上面的”dirname”是别名目录的目录名。
厂商补丁：
Oracle
——
Oracle已经为此漏洞提供了相应补丁程序，CNNVD建议您随时关注厂商主页以获取相关补丁：

http://metalink.oracle.com” target=”_blank”>
http://metalink.oracle.com

来源:CERT/CC Advisory: CA-2002-08
名称: CA-2002-08
链接:http://www.cert.org/advisories/CA-2002-08.html

来源:US-CERT Vulnerability Note: VU#547459
名称: VU#547459
链接:http://www.kb.cert.org/vuls/id/547459

来源: XF
名称: oracle-appserver-oraclejsp-view-info(8100)
链接:http://xforce.iss.net/static/8100.php

来源: BID
名称: 4034
链接:http://www.securityfocus.com/bid/4034

来源: otn.oracle.com
链接:http://otn.oracle.com/deploy/security/pdf/ias_modplsql_alert.pdf

来源: BUGTRAQ
名称: 20020206 JSP translation file access under Oracle 9iAS
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101301440005580&w=2