Oracle 9i应用服务程序示例脚本远程信息泄露漏洞

漏洞信息详情

Oracle 9i应用服务程序示例脚本远程信息泄露漏洞

• CNNVD编号：CNNVD-200212-332
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-1632
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-12-31
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  oracle
• 漏洞来源：
  David Litchfield※ …

Oracle 9i应用服务器基于Apache Web服务器，支持SOAP、PL/SQL、XSQL、JSP等环境。
Oracle 9i应用服务器包含多个示例脚本存在安全缺陷，远程攻击者可以利用这些脚本发送任意邮件或获得敏感信息。
一个全新安装的Oracle 9i应用服务程序包含多个JSP脚本，这些脚本包括：
http：//servername/demo/email/sendmail.jsp
http：//servername/demo/info/info.jsp
http：//servername/cgi-bin/printenv
http：//servername/fcgi-bin/echo
http：//servername/fcgi-bin/echo2
http：//servername/xsql/java/xsql/demo/adhocsql/query.xsql
这些样本脚本存在各种缺陷，可导致攻击者利用这些漏洞从Oracle服务器上发送任意邮件或者获得服务器环境变量和其他敏感信息。

厂商补丁：
Oracle
——
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://otn.oracle.com” target=”_blank”>
http://otn.oracle.com

来源:US-CERT Vulnerability Note: VU#SVIM-576QLZ
名称: http://www.kb.cert.org/vuls/id/SVIM-576QLZ
链接:http://www.kb.cert.org/vuls/id/SVIM-576QLZ

来源:US-CERT Vulnerability Note: VU#717827
名称: VU#717827
链接:http://www.kb.cert.org/vuls/id/717827

来源: XF
名称: oracle-appserver-info-sample(8665)
链接:http://xforce.iss.net/xforce/xfdb/8665

来源: www.nextgenss.com
链接:http://www.nextgenss.com/papers/hpoas.pdf

来源: BID
名称: 6556
链接:http://www.securityfocus.com/bid/6556

来源: www.oracle.com
链接:http://www.oracle.com/technology/deploy/security/pdf/ias_modplsql_alert.pdf

来源：NSFOCUS
名称：4175
链接：http://www.nsfocus.net/vulndb/4175