廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 3238 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
HK003
個人頭像
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x0 鮮花 x18
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[漏洞修補] Oracle PL/SQL 閘道繞過例外清單的保安漏洞
出處
http://www.hkcert.org/salert/chinese/...lsql_bypass.html

Oracle PL/SQL 閘道繞過例外清單的保安漏洞
多個 Oracle 產品都被發現存在一個漏洞,這個漏洞可以被遠端攻擊者利用去繞過保安限制和未經授權下存取受影響的系統。由於 PL/SQL 閘道元件沒有適當地處理異常的 HTTP 請求,造成檢查輸入的錯誤,這樣可以被沒有驗證的遠端攻擊者利用去繞過 "PLSQLExclusion" 清單和存取 "例外" 的封包和程序,繼而允許控制後端資料庫伺服器。

影響

繞過保安限制和未經授權存取受影響的系統
受影響之系統

Oracle9i Application Server
Oracle Application Server 10g
Oracle HTTP Server 9.x
Oracle HTTP Server 8.x
解決方案

官方暫時沒有提供相關的修補程式。

臨時處理方案

加入以下的設定到 "http.conf" 檔案及重新啟動伺服器:

RewriteEngine on
RewriteCond %{QUERY_STRING} ^.*\).*|.*%29.*$
RewriteRule ^.*$ http://127.0.0.1...d.htm
RewriteRule ^.*\).*|.*%29.*$ http://127.0.0.1...d.htm




相關連結

http://www.frsirt.com/engli...s/2006/0338
http://www.frsirt.com/en...rence/5023


[ 此文章被woor2580在2006-02-08 21:20重新編輯 ]




獻花 x0 回到頂端 [樓 主] From:台灣中華電信 | Posted:2006-01-28 00:24 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.052297 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言