DB4Web可被作为连接代理使用漏洞

漏洞信息详情

DB4Web可被作为连接代理使用漏洞

• CNNVD编号：CNNVD-200304-118
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-1484
  
• 漏洞类型：
  
  
  配置错误
  
• 发布时间：
  
  2002-09-17
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  db4web
• 漏洞来源：
  Stefan.Bagdohn※ St…

DB4Web是一款应用服务程序，允许通过WEB对关系数据库和其他信息资源进行读写访问，此应用程序可使用在Windows、Linux和各类Unix操作系统下。
DB4Web存在设计问题，远程攻击者可以利用这个漏洞使用DB4Web应用程序对任意系统进行端口扫描。
DB4Web对用户提交的数据库访问会生成动态HTML页面，攻击者可以通过提交恶意URL请求操纵服务器对任意指定端口的IP发起连接，应用程序会发送TCP SYN包建立一个连接，TCP连接成功与否DB4Web会生成不同的错误信息，因此可以利用DB4Web服务程序对任意系统进行恶意扫描。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 设置访问控制，只允许可信用户访问DB4Web。
厂商补丁：
DB4Web
——
供应尚认为这不是一个安全问题，这个功能主要为开放者使用。

建议不需要用户使用定制的错误页来代替调试信息页。

来源: BID
名称: 5725
链接:http://www.securityfocus.com/bid/5725

来源: XF
名称: db4web-tcp-portscan(10136)
链接:http://www.iss.net/security_center/static/10136.php

来源: VULNWATCH
名称: 20020919 Advisory: TCP-Connection risk in DB4Web
链接:http://archives.neohapsis.com/archives/vulnwatch/2002-q3/0125.html

来源: BUGTRAQ
名称: 20020917 Advisory: TCP-Connection risk in DB4Web
链接:http://archives.neohapsis.com/archives/bugtraq/2002-09/0201.html