广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 3232 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
HK003
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x0 鲜花 x18
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[漏洞修补] Oracle PL/SQL 闸道绕过例外清单的保安漏洞
出处
http://www.hkcert.org/salert/chinese/...lsql_bypass.html

Oracle PL/SQL 闸道绕过例外清单的保安漏洞
多个 Oracle 产品都被发现存在一个漏洞,这个漏洞可以被远端攻击者利用去绕过保安限制和未经授权下存取受影响的系统。由于 PL/SQL 闸道元件没有适当地处理异常的 HTTP 请求,造成检查输入的错误,这样可以被没有验证的远端攻击者利用去绕过 "PLSQLExclusion" 清单和存取 "例外" 的封包和程序,继而允许控制后端资料库伺服器。

影响

绕过保安限制和未经授权存取受影响的系统
受影响之系统

Oracle9i Application Server
Oracle Application Server 10g
Oracle HTTP Server 9.x
Oracle HTTP Server 8.x
解决方案

官方暂时没有提供相关的修补程式。

临时处理方案

加入以下的设定到 "http.conf" 档案及重新启动伺服器:

RewriteEngine on
RewriteCond %{QUERY_STRING} ^.*\).*|.*%29.*$
RewriteRule ^.*$ http://127.0.0.1...d.htm
RewriteRule ^.*\).*|.*%29.*$ http://127.0.0.1...d.htm




相关连结

http://www.frsirt.com/engli...s/2006/0338
http://www.frsirt.com/en...rence/5023


[ 此文章被woor2580在2006-02-08 21:20重新编辑 ]




献花 x0 回到顶端 [楼 主] From:台湾中华电信 | Posted:2006-01-28 00:24 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.070643 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言