分享
 
 
 

Oracle 10月份发表的一系列漏洞

王朝oracle·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

Oracle Html DB明文口令存储漏洞

发布日期:2005-10-08

更新日期:2005-10-08

受影响系统:

Oracle HTML DB 1.6.1

Oracle HTML DB 1.6

Oracle HTML DB 1.5.1

Oracle HTML DB 1.5

描述:

--------------------------------------------------------------------------------

BUGTRAQID: 15033

Oracle是一款大型的商业数据库系统,Oracle HTML DB是Oracle数据库的快速web应用开发工具。

Oracle HTML DB中存在明文存储口令漏洞。在手动安装时,应用程序在文件系统中以明文文件存储“SYS”用户的口令。本地攻击者可以访问这个文件,并检索到口令,获得治理权限访问。

<*来源:Alexander Kornbrust (ak@red-database-security.com)

链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112870441917345&w=2

http://www.oracle.com/technology/deploy/security/pdf/cpujul2005.html

*

建议:

-------------------------------------

临时解决方法:

手动删除install.lst文件。

厂商补丁:

Oracle

------

Oracle已经为此发布了一个安全公告(cpujul2005)以及相应补丁:

cpujul2005:Critical Patch Update - July 2005

链接:http://www.oracle.com/technology/deploy/security/pdf/cpujul2005.html

Oracle HTML DB跨站脚本漏洞

发布日期:2005-10-08

更新日期:2005-10-08

受影响系统:

Oracle HTML DB 1.6.1

Oracle HTML DB 1.6

Oracle HTML DB 1.5.1

Oracle HTML DB 1.5

描述:

-------------------------------------------------

BUGTRAQID: 15031

Oracle是一款大型的商业数据库系统,Oracle HTML DB是Oracle数据库的快速web应用开发工具。

HTML DB中存在一些跨站脚本漏洞,起因是没有正确的验证用户输入。攻击者可以利用这些漏洞通过向HTML DB用户发送特制的HTMLDB url在数据库中执行SQL语句。

<*来源:Alexander Kornbrust (ak@red-database-security.com)

链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112870398418456&w=2

http://www.oracle.com/technology/deploy/security/pdf/cpujul2005.html

*

测试方法:

-----------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

http://htmldb.oracle.com/pls/otn/f?p=4500:alert(document.cookie);59:3239664590547916206

http://htmldb.oracle.com/pls/otn/wwv_flow.accept?p_flow_id=4500&p_flow_step_id=3&p_instance=428576542275032284&p_page_submission_id=3334304&p_request=RUN&p_arg_names=4407099841&p_t01=KORNBRUST&p_arg_names=998876535505&p_t02=selectsysdate'alert("'sysdate'");' fromdual%3B&p_arg_names=57198154917561018&p_t03=&p_arg_names=50923815163860037&p_t04=&p_arg_names=64882231271599126&p_t05=&p_arg_names=57064518975385648&p_t06=&p_arg_names=57356416829253124&p_t07=&p_arg_names=30322022623394012&p_t08=&p_arg_names=106590927281022368&p_t09=&p_md5_checksum=

建议:

---------------------------------------------

厂商补丁:

Oracle

------

Oracle已经为此发布了一个安全公告(cpujul2005)以及相应补丁:

cpujul2005:Critical Patch Update - July 2005

链接:http://www.oracle.com/technology/deploy/security/pdf/cpujul2005.html

-------------------------------------------------

Oracle iSQLPlus跨站脚本漏洞

发布日期:2005-10-08

更新日期:2005-10-08

受影响系统:

Oracle Database 9i Release 2

描述:

-------------------------------------------

BUGTRAQID: 15030

Oracle是一款大型的商业数据库系统,Oracle iSQL*Plus是SQL*Plus的WEB界面。

Oracle iSQL*Plus中存在跨站脚本漏洞,起因是没有正确的验证用户输入。攻击者可以利用这个漏洞在用户浏览器中执行任意脚本代码。

<*来源:Alexander Kornbrust (ak@red-database-security.com)

链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112870489324437&w=2

http://www.oracle.com/technology/deploy/security/pdf/cpujul2005.html

*

测试方法:

-------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

1. 以scott用户登录iSQLPlus(http://myserver/isqlplus )

2. 设置HTML TABLE标记 <scriptalert(document.cookie);</script

3. 选择表格(如从cat选择*)

== 这时会弹出窗口

建议:

----------------------------------------------

厂商补丁:

Oracle

------

Oracle已经为此发布了一个安全公告(cpujul2005)以及相应补丁:

cpujul2005:Critical Patch Update - July 2005

链接:http://www.oracle.com/technology/deploy/security/pdf/cpujul2005.html

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有