| 本月文章推荐 |
Oracle 10月份发表的一系列漏洞发表日期:2008-2-9
|
|
Oracle Html DB明文口令存储漏洞 发布日期:2005-10-08 更新日期:2005-10-08 受影响系统: Oracle HTML DB 1.6.1 Oracle HTML DB 1.6 Oracle HTML DB 1.5.1 Oracle HTML DB 1.5 描述: -------------------------------------------------------------------------------- BUGTRAQ ID: 15033 Oracle是一款大型的商业数据库系统,Oracle HTML DB是Oracle数据库的快速web应用开发工具。 Oracle HTML DB中存在明文存储口令漏洞。在手动安装时,应用程序在文件系统中以明文文件存储“SYS”用户的口令。本地攻击者可以访问这个文件,并检索到口令,获得治理权限访问。 <*来源:Alexander Kornbrust (ak@red-database-security.com) 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112870441917345&w=2 http://www.oracle.com/technology/deploy/security/pdf/cpujul2005.html *> 建议: ------------------------------------- 临时解决方法: 手动删除install.lst文件。 厂商补丁: Oracle ------ Oracle已经为此发布了一个安全公告(cpujul2005)以及相应补丁: cpujul2005:Critical Patch Update - July 2005 链接:http://www.oracle.com/technology/deploy/security/pdf/cpujul2005.html Oracle HTML DB跨站脚本漏洞 发布日期:2005-10-08 更新日期:2005-10-08 受影响系统: Oracle HTML DB 1.6.1 Oracle HTML DB 1.6 Oracle HTML DB 1.5.1 Oracle HTML DB 1.5 描述: ------------------------------------------------- BUGTRAQ ID: 15031 Oracle是一款大型的商业数据库系统,Oracle HTML DB是Oracle数据库的快速web应用开发工具。 HTML DB中存在一些跨站脚本漏洞,起因是没有正确的验证用户输入。攻击者可以利用这些漏洞通过向HTML DB用户发送特制的HTMLDB url在数据库中执行SQL语句。 <*来源:Alexander Kornbrust (ak@red-database-security.com) 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112870398418456&w=2 http://www.oracle.com/technology/deploy/security/pdf/cpujul2005.html *> 测试方法: ----------------------------------------------- 警 告 以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负! http://htmldb.oracle.com/pls/otn/f?p=4500:alert(document.cookie);59:3239664590547916206 http://htmldb.oracle.com/pls/otn/wwv_flow.accept?p_flow_id=4500&p_flow_step_id=3&p_instance=428576542275032284&p_page_submission_id=3334304&p_request=RUN&p_arg_names=4407099841&p_t01=KORNBRUST&p_arg_names=998876535505&p_t02=selectsysdate'alert("'sysdate'");' fromdual%3B&p_arg_names=57198154917561018&p_t03=&p_arg_names=50923815163860037&p_t04=&p_arg_names=64882231271599126&p_t05=&p_arg_names=57064518975385648&p_t06=&p_arg_names=57356416829253124&p_t07=&p_arg_names=30322022623394012&p_t08=&p_arg_names=106590927281022368&p_t09=&p_md5_checksum= 建议: --------------------------------------------- 厂商补丁: Oracle ------ Oracle已经为此发布了一个安全公告(cpujul2005)以及相应补丁: cpujul2005:Critical Patch Update - July 2005 链接:http://www.oracle.com/technology/deploy/security/pdf/cpujul2005.html ------------------------------------------------- Oracle iSQLPlus跨站脚本漏洞 发布日期:2005-10-08 更新日期:2005-10-08 受影响系统: Oracle Database 9i Release 2 描述: ------------------------------------------- BUGTRAQ ID: 15030 Oracle是一款大型的商业数据库系统,Oracle iSQL*Plus是SQL*Plus的WEB界面。 Oracle iSQL*Plus中存在跨站脚本漏洞,起因是没有正确的验证用户输入。攻击者可以利用这个漏洞在用户浏览器中执行任意脚本代码。 <*来源:Alexander Kornbrust (ak@red-database-security.com) 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112870489324437&w=2 http://www.oracle.com/technology/deploy/security/pdf/cpujul2005.html *> 测试方法: ------------------------------------------- 警 告 以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负! 1. 以scott用户登录iSQLPlus(http://myserver/isqlplus ) 2. 设置HTML TABLE标记 ><script>alert(document.cookie);</script> 3. 选择表格(如从cat选择*) ==> 这时会弹出窗口 建议: ---------------------------------------------- 厂商补丁: Oracle ------ Oracle已经为此发布了一个安全公告(cpujul2005)以及相应补丁: cpujul2005:Critical Patch Update - July 2005 链接:http://www.oracle.com/technology/deploy/security/pdf/cpujul2005.html |
| 上一篇:Oracle软件升级 增加支持RFID功能
人气:555 下一篇:Oracle与F5 Networks共同协手合作 人气:571 |
| 浏览全部Oracle教程的内容
Dreamweaver插件下载 网页广告代码 祝你圣诞节快乐 2009年新年快乐 |
