|
Oracle9iAS PL/SQL Apache模块远程拒绝服务漏洞
发布日期: 2002-2-6
更新日期: 2002-2-10
受影响的系统:
Oracle Oracle9i 9.0
Oracle Oracle9i 9.0.1
Oracle Oracle 9i Application Server
描述:
BUGTRAQ ID: 4037
Oracle 9iAS(Application Server)的web服务使用的是Apache web Server,它提供了多种应用环境,包括SOAP, PL/SQL, XSQL 以及JSP。
Oracle 9iAS的PL/SQL Apache模块中存在远程拒绝服务漏洞,允许远程攻击者使服务器停止正常服务。
当向PL/SQL模块发送一个畸形请求时:包含一个HTTP客户端的认证头(Authorization header),但是没有设置认证类型。将使Apache服务发生非法访问,必须重新启动服务才能恢复正常工作。
<来源:"NGSSoftware Insight Security Research" (nisr@nextgenss.com)
链接:http://archives.neohapsis.com/archives/bugtraq/2002-02/0006.html
http://www.nextgenss.com/advisories/oramodplsbos.txt
*>
建议:
临时解决方案:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 在边界防火墙或者主机防火墙上限制对Oracle Apache web server 80/TCP端口的访问。
厂商解决方案:
Oracle已经为此漏洞提供了相应补丁程序,NSFOCUS建议您随时关注厂商主页以获取相关补丁:
http://metalink.oracle.com
(绿盟科技,2002-02-11)
|
