熱點推薦:
您现在的位置: 電腦知識網 >> 編程 >> Oracle >> 正文

Oracle 10月份發表的一系列漏洞

2013-11-13 16:10:34  來源: Oracle 

  Oracle HTML DB明文口令存儲漏洞
  
  發布日期
  更新日期
  
  受影響系統
  Oracle HTML DB
  Oracle HTML DB
  Oracle HTML DB
  Oracle HTML DB
  描述
  
  BUGTRAQ ID:
  
  Oracle是一款大型的商業數據庫系統Oracle HTML DB是Oracle數據庫的快速web應用開發工具
  
  Oracle HTML DB中存在明文存儲口令漏洞在手動安裝時應用程序在文件系統中以明文文件存儲SYS用戶的口令本地攻擊者可以訪問這個文件並檢索到口令獲得管理權限訪問
  
  <*來源Alexander Kornbrust (ak@redd)
  
   鏈接
      
  *>
  
  建議
  
  臨時解決方法
  
  手動刪除installlst文件
  
  廠商補丁
  
  Oracle
  
  Oracle已經為此發布了一個安全公告(cpujul)以及相應補丁:
  cpujulCritical Patch Update July
  鏈接
  
  Oracle HTML DB跨站腳本漏洞
  
  發布日期
  更新日期
  
  受影響系統
  Oracle HTML DB
  Oracle HTML DB
  Oracle HTML DB
  Oracle HTML DB
  描述
  
  BUGTRAQ ID:
  
  Oracle是一款大型的商業數據庫系統Oracle HTML DB是Oracle數據庫的快速web應用開發工具
  
  HTML DB中存在一些跨站腳本漏洞起因是沒有正確的驗證用戶輸入攻擊者可以利用這些漏洞通過向HTML DB用戶發送特制的HTMLDB url在數據庫中執行SQL語句
  
  <*來源Alexander Kornbrust (ak@redd)
  
   鏈接
      
  *>
  
  測試方法
  
  
  警 告
  
  以下程序(方法)可能帶有攻擊性僅供安全研究與教學之用使用者風險自負!
  
  (okie);:
  
  &p_page_submission_id=&p_request=RUN&p_arg_names=&p_t=KORNBRUST&p_arg_names=&p_t=selectsysdate||alert(||sysdate||); fromdual%B&p_arg_names=&p_t=&p_arg_names=&p_t=&p_arg_names=&p_t=&p_arg_names=&p_t=&p_arg_names=&p_t=&p_arg_names=&p_t=&p_arg_names=&p_t=&p_md_checksum=
  
  建議
  
  廠商補丁
  
  Oracle
  
  Oracle已經為此發布了一個安全公告(cpujul)以及相應補丁:
  cpujulCritical Patch Update July
  鏈接
  
  
  
  Oracle iSQLPlus跨站腳本漏洞
  
  發布日期
  更新日期
  
  受影響系統
  Oracle Database i Release
  描述
  
  BUGTRAQ ID:
  
  Oracle是一款大型的商業數據庫系統Oracle iSQL*Plus是SQL*Plus的WEB界面
  
  Oracle iSQL*Plus中存在跨站腳本漏洞起因是沒有正確的驗證用戶輸入攻擊者可以利用這個漏洞在用戶浏覽器中執行任意腳本代碼
  
  <*來源Alexander Kornbrust (ak@redd)
  
   鏈接
      
  *>
  
  測試方法
  
  
  警 告
  
  以下程序(方法)可能帶有攻擊性僅供安全研究與教學之用使用者風險自負!
  
   以scott用戶登錄//myserver/isqlplus )
  
   設置HTML TABLE標記 ><script>alert(okie);</script>
  
   選擇表格(如從cat選擇*)
  
  ==> 這時會彈出窗口
  
  建議
  
  廠商補丁
  
  Oracle
  
  Oracle已經為此發布了一個安全公告(cpujul)以及相應補丁:
  cpujulCritical Patch Update July
  鏈接
From:http://tw.wingwit.com/Article/program/Oracle/201311/17943.html
  • 上一篇文章:

  • 下一篇文章:
  • 推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.