Oracle extproc目录遍历漏洞

漏洞信息详情

Oracle extproc目录遍历漏洞

• CNNVD编号：CNNVD-200408-009
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2004-1364
  
• 漏洞类型：
  
  
  路径遍历
  
• 发布时间：
  
  2004-08-04
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-08-30
  
• 厂        商：
  
  oracle
• 漏洞来源：
  David Litchfield※ …

Oracle Database是一款商业性质大型数据库系统。
Oracle 10g extproc存在目录遍历问题，远程攻击者可以利用这个漏洞绕过目录限制，访问其他库。
extproc验证\’\’$ORACLE_HOME＼bin\’\’目录中的库，这主要是为了保证外部库不能被装载，但是存在一个目录遍历问题，可导致攻击者绕过目录限制，访问如libc和msvcrt.dll库，通过调用system()函数可执行任意OS命令。

厂商补丁：
Oracle
——
ORACLE已经发布patch (#68)来修正此漏洞：

http://metalink.oracle.com/” target=”_blank”>
http://metalink.oracle.com/

来源:US-CERT Technical Alert: TA04-245A
名称: TA04-245A
链接:http://www.us-cert.gov/cas/techalerts/TA04-245A.html

来源:US-CERT Vulnerability Note: VU#316206
名称: VU#316206
链接:http://www.kb.cert.org/vuls/id/316206

来源: XF
名称: oracle-extproc-directory-traversal(18658)
链接:http://xforce.iss.net/xforce/xfdb/18658

来源: BID
名称: 10871
链接:http://www.securityfocus.com/bid/10871

来源: www.oracle.com
链接:http://www.oracle.com/technology/deploy/security/pdf/2004alert68.pdf

来源: www.ngssoftware.com
链接:http://www.ngssoftware.com/advisories/oracle23122004B.txt

来源: BUGTRAQ
名称: 20041223 Oracle extproc directory traversal (#NISR23122004B)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110382406002365&w=2

来源: BUGTRAQ
名称: 20061219 Oracle <= 9i / 10g (extproc) Local/Remote Command Execution Exploit
链接:http://www.securityfocus.com/archive/1/archive/1/454861/100/0/threaded

来源: www.0xdeadbeef.info
链接:http://www.0xdeadbeef.info/exploits/raptor_oraextproc.sql

来源: SUNALERT
名称: 101782
链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-101782-1