Просмотр любых файлов на диске в Apache модуле PL/SQL для Oracle 9I Application Server
| Дата публикации: | 24.12.2001 |
| Всего просмотров: | 1175 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Oracle 9i Application Server поставляется с apache основанным Web сервером и поддержкой сред типа SOAP, PL/SQL, XSQL и JSP.
Apache модуль PL/SQL для Oracle 9iAS обеспечивает функциональные возможности для удаленного Администрирования Database Access Descriptors и доступа к страницам помощи. Удаленный нападающий может создать специально сформированный запрос, содержащий двойное кодирование последовательности dot-dot-slash (../), который приведет к обходу директории 'admin'. Уязвимость позволяет читать файлы на диске, с правами Web сервера (на Windows с правами system) Уязвимость найдена в Oracle Oracle 9i Application Server для всех операционных систем. |
| Ссылки: |
http://metalink.oracle.com http://otn.oracle.com/deploy/security/pdf/modplsql.pdf http://owasp.securitylab.ru/?ID=27090 http://owasp.securitylab.ru/?ID=27094 |