Доступ к JSP файлам в Oracle 9iAS

Дата публикации:
08.02.2002
Всего просмотров:
1097
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Oracle 9iAS web service увеличивает производительность Apache web сервера. Служба включает поддержку поставки JSP страниц.

Когда пользователь запрашивает JSP страницу от сервера, выполняющего OracleJSP, создаются 3 файла. Эти файлы содержат потенциально чувствительную информацию.

Например, если файл назывался file.jsp, созданные файлы будут называться: _file$ __ JSP_StaticText.class
_file.class
_file.java

Эти файлы сохранены в дереве каталога /_pages. Проблема состоит в том, что .java файл содержит исходный текст, и к нему могут обращаться произвольные web пользователи. Уязвимость может приводить к раскрытию опознавательной информации базы данных любому пользователю, который сможет предположить путь к непереведенному .java файлу, в дополнение к раскрытию других типов потенциально чувствительной информации.

Кроме того, к файлам globals.jsa можно обращаться таким способом, также потенциально раскрывая чувствительную информацию удаленным нападающим.

Уязвимость найдена в Oracle Oracle9i 9.0 - 9.0.1, Oracle Oracle9iAS Web Cache 2.0.0.0 - 2.0.0.3

Ссылки: Источник

или введите имя

CAPTCHA