当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Oracle 9iAS 未经身份验证用户访问敏感服务漏洞

信息来源:David Litchfield (david@nextgenss.com)      发表日期:2013-08-15 18:03:00

 

Oracle 9i应用服务器基于Apache Web服务器,支持SOAP、PL/SQL、XSQL、JSP等环境。

 

Oracle 9i Application Server 1.0.2.x的默认配置允许远程匿名用户访问敏感服务,而不进行身份验证,可访问的服务包括动态监控服务(1) dms0, (2) dms/DMSDump, (3) servlet/DMSDump, (4) servlet/Spy, (5) soap/servlet/Spy, (6) dms/AggreSpy; 及可以控制Java进程的Oracle Java Process Manager (7) oprocmgr-status, (8)oprocmgr-service。

 

BUGTRAQ-ID:4293

CVE-ID:2002-0563

受影响系统:

Oracle Oracle 9i Application Server 1.0.2.x

 

解决办法:

厂商补丁:

 

Oracle

------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

 

http://www.oracle.com/ip/deploy/ias/

参考信息:

http://xforce.iss.net/xforce/xfdb/8455