Oracle HTML DB明文口令存儲漏洞
發布日期
更新日期
受影響系統
Oracle HTML DB
Oracle HTML DB
Oracle HTML DB
Oracle HTML DB
描述
BUGTRAQ ID:
Oracle是一款大型的商業數據庫系統
Oracle HTML DB是Oracle數據庫的快速web應用開發工具
Oracle HTML DB中存在明文存儲口令漏洞
在手動安裝時
應用程序在文件系統中以明文文件存儲
SYS
用戶的口令
本地攻擊者可以訪問這個文件
並檢索到口令
獲得管理權限訪問
<*來源
Alexander Kornbrust (ak@red
d)
鏈接
*>
建議
臨時解決方法
手動刪除install
lst文件
廠商補丁
Oracle
Oracle已經為此發布了一個安全公告(cpujul
)以及相應補丁:
cpujul
Critical Patch Update
July
鏈接
Oracle HTML DB跨站腳本漏洞
發布日期
更新日期
受影響系統
Oracle HTML DB
Oracle HTML DB
Oracle HTML DB
Oracle HTML DB
描述
BUGTRAQ ID:
Oracle是一款大型的商業數據庫系統
Oracle HTML DB是Oracle數據庫的快速web應用開發工具
HTML DB中存在一些跨站腳本漏洞
起因是沒有正確的驗證用戶輸入
攻擊者可以利用這些漏洞通過向HTML DB用戶發送特制的HTMLDB url在數據庫中執行SQL語句
<*來源
Alexander Kornbrust (ak@red
d)
鏈接
*>
測試方法
警 告
以下程序(方法)可能帶有攻擊性
僅供安全研究與教學之用
使用者風險自負!
(okie);
:
&p_page_submission_id=
&p_request=RUN&p_arg_names=
&p_t
=KORNBRUST&p_arg_names=
&p_t
=selectsysdate||
alert(
||sysdate||
);
fromdual%
B&p_arg_names=
&p_t
=&p_arg_names=
&p_t
=&p_arg_names=
&p_t
=&p_arg_names=
&p_t
=&p_arg_names=
&p_t
=&p_arg_names=
&p_t
=&p_arg_names=
&p_t
=&p_md
_checksum=
建議
廠商補丁
Oracle
Oracle已經為此發布了一個安全公告(cpujul
)以及相應補丁:
cpujul
Critical Patch Update
July
鏈接
Oracle iSQLPlus跨站腳本漏洞
發布日期
更新日期
受影響系統
Oracle Database
i Release
描述
BUGTRAQ ID:
Oracle是一款大型的商業數據庫系統
Oracle iSQL*Plus是SQL*Plus的WEB界面
Oracle iSQL*Plus中存在跨站腳本漏洞
起因是沒有正確的驗證用戶輸入
攻擊者可以利用這個漏洞在用戶浏覽器中執行任意腳本代碼
<*來源
Alexander Kornbrust (ak@red
d)
鏈接
*>
測試方法
警 告
以下程序(方法)可能帶有攻擊性
僅供安全研究與教學之用
使用者風險自負!
以scott用戶登錄//myserver/isqlplus )
設置HTML TABLE標記 ><script>alert(okie);</script>
選擇表格(如從cat選擇*)
==> 這時會彈出窗口
建議
廠商補丁
Oracle
Oracle已經為此發布了一個安全公告(cpujul
)以及相應補丁:
cpujul
Critical Patch Update
July
鏈接
From:http://tw.wingwit.com/Article/program/Oracle/201311/17943.html
