Oracle应用服务器是一个综合解决方案,用于开发、集成和部署企业的应用系统、门户和网站。Oracle应用服务器的服务端组件EmChartBean中存在目录遍历漏洞,非授权用户可以通过发送GET请求以 Javaw.exe进程的权限(默认为LocalSystem)远程访问根目录以外的文件。EmChartBean仅存在于运行时,在初始调用登陆页面后从JAR文件中解压,因此如果要利用这个漏洞攻击者必须首先能够向登陆页面提交请求。 受影响系统:
Oracle Application Server 10g Release 3 10.1.3.0.0
描述:
Oracle应用服务器是一个综合解决方案,用于开发、集成和部署企业的应用系统、门户和网站。
Oracle应用服务器的服务端组件EmChartBean中存在目录遍历漏洞,非授权用户可以通过发送GET请求以Javaw.exe进程的权限(默认为LocalSystem)远程访问根目录以外的文件。
EmChartBean仅存在于运行时,在初始调用登陆页面后从JAR文件中解压,因此如果要利用这个漏洞攻击者必须首先能够向登陆页面提交请求。
来源:Oliver Karow (Oliver.karow@gmx.de)
链接:
http://www.symantec.com/enterprise/research/SYMSA-2007-001.txt http://secunia.com/advisories/23794 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html?_template=/o http://www.us-cert.gov/cas/techalerts/TA07-017A.html
建议:
厂商补丁:
Oracle
Oracle已经为此发布了一个安全公告(cpujan2007)以及相应补丁:
cpujan2007:Oracle Critical Patch Update - January 2007
链接:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html?_template=/o
(参考链接: http://www.enet.com.cn/article/2007/0124/A20070124409107.shtml)
|