网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > 漏洞 > 文章  
Oracle应用服务器组件远程目录遍历漏洞
文章来源: 绿盟科技 文章作者: 绿盟科技 发布时间: 2007-01-25   字体: [ ]
 

  Oracle应用服务器是一个综合解决方案,用于开发、集成和部署企业的应用系统、门户和网站。Oracle应用服务器的服务端组件EmChartBean中存在目录遍历漏洞,非授权用户可以通过发送GET请求以 Javaw.exe进程的权限(默认为LocalSystem)远程访问根目录以外的文件。EmChartBean仅存在于运行时,在初始调用登陆页面后从JAR文件中解压,因此如果要利用这个漏洞攻击者必须首先能够向登陆页面提交请求。
  
  受影响系统:

  Oracle Application Server 10g Release 3 10.1.3.0.0

  描述:

  Oracle应用服务器是一个综合解决方案,用于开发、集成和部署企业的应用系统、门户和网站。

  Oracle应用服务器的服务端组件EmChartBean中存在目录遍历漏洞,非授权用户可以通过发送GET请求以Javaw.exe进程的权限(默认为LocalSystem)远程访问根目录以外的文件。

  EmChartBean仅存在于运行时,在初始调用登陆页面后从JAR文件中解压,因此如果要利用这个漏洞攻击者必须首先能够向登陆页面提交请求。

  来源:Oliver Karow (Oliver.karow@gmx.de

  链接:

  http://www.symantec.com/enterprise/research/SYMSA-2007-001.txt
  http://secunia.com/advisories/23794
  http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html?_template=/o
  http://www.us-cert.gov/cas/techalerts/TA07-017A.html

  建议:

  厂商补丁:

  Oracle

  Oracle已经为此发布了一个安全公告(cpujan2007)以及相应补丁:

  cpujan2007:Oracle Critical Patch Update - January 2007

  链接:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html?_template=/o

  (参考链接: http://www.enet.com.cn/article/2007/0124/A20070124409107.shtml)

 
推荐文章
·网络安全之TCP端口作用、漏洞及
 
 
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·网络安全之TCP端口作用
·黑客新天堂 显卡和网卡
·iChat惊现漏洞 志愿者来
·Firefox首次曝光21处漏
·Firefox又爆两个新漏洞
·Sun修正JRE危急缺陷与GI
·思科路由器出漏洞 可能
·谨防病毒利用漏洞传播
相关分类
相关文章
·iChat惊现漏洞 志愿者来
·谨防病毒利用漏洞传播
·思科路由器出漏洞 可能
·Sun修正JRE危急缺陷与GI
·网络安全之TCP端口作用
·Firefox又爆两个新漏洞
·Firefox首次曝光21处漏
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $