Sun J2EE/RI Pointbase数据库远程命令执行漏洞

漏洞信息详情

Sun J2EE/RI Pointbase数据库远程命令执行漏洞

• CNNVD编号：CNNVD-200906-005
• 危害等级： 超危
  
  
• CVE编号：
  CVE-2003-1573
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2003-12-16
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2009-06-02
  
• 厂        商：
  
  sun
• 漏洞来源：
  Marc Schoenefeld※ …

J2EE/RI Pointbase是一个纯JAVA数据库，可以方便的开发JAVA产品 。

J2EE/RI (Reference Implementation) Pointbase数据库存在安全问题，远程攻击者可以利用这个漏洞通过jdbc插入任意代码或对数据库进行拒绝服务攻击 。

通过使用特殊构建的SQL命令可导致在运行pointbase数据库的主机上执行任意代码。问题是由于jdk 1.4.2_02中的sun.*和org.apache.*库中漏洞及不充分的安全设置导致。利用这些漏洞也可能使攻击者对数据库进行拒绝服务攻击 。

目前没有详细的漏洞细节提供 。

目前厂商还没有提供补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://sunsolve.sun.com/security

来源: XF

名称: j2ee-pointbase-sql-injection(14008)

链接:http://xforce.iss.net/xforce/xfdb/14008

来源: XF

名称: pointbase-command-execution(14883)

链接:http://xforce.iss.net/xforce/xfdb/14883

来源: XF

名称: pointbase-information-disclosure(14882)

链接:http://xforce.iss.net/xforce/xfdb/14882

来源: XF

名称: pointbase-insecure-permissions-dos(14881)

链接:http://xforce.iss.net/xforce/xfdb/14881

来源: BID

名称: 9230

链接:http://www.securityfocus.com/bid/9230

来源: SECTRACK

名称: 1008491

链接:http://securitytracker.com/id?1008491

来源: SECUNIA

名称: 10460

链接:http://secunia.com/advisories/10460

来源: BUGTRAQ

名称: 20031216 J2EE 1.4 reference implementation: database component allows remote code execution

链接:http://seclists.org/bugtraq/2003/Dec/0249.html

来源: FULLDISC

名称: 20040118 Proof-Of-Concept Denial-Of-Service Pointbase 4.6 Java SQL-DB

链接:http://archives.neohapsis.com/archives/fulldisclosure/2004-01/0675.html

来源: BUGTRAQ

名称: 20040118 Proof-Of-Concept Denial-Of-Service Pointbase 4.6 Java SQL-DB

链接:http://archives.neohapsis.com/archives/bugtraq/2004-01/0148.html