Дата публикации: | 24.12.2001 |
Всего просмотров: | 1175 |
Опасность: | |
Наличие исправления: | |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | |
Воздействие: | |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | |
Описание: | Oracle 9i Application Server поставляется с apache основанным Web сервером и поддержкой сред типа SOAP, PL/SQL, XSQL и JSP.
Apache модуль PL/SQL для Oracle 9iAS обеспечивает функциональные возможности для удаленного Администрирования Database Access Descriptors и доступа к страницам помощи. Удаленный нападающий может создать специально сформированный запрос, содержащий двойное кодирование последовательности dot-dot-slash (../), который приведет к обходу директории 'admin'. Уязвимость позволяет читать файлы на диске, с правами Web сервера (на Windows с правами system) Уязвимость найдена в Oracle Oracle 9i Application Server для всех операционных систем. |
Ссылки: |
http://metalink.oracle.com http://otn.oracle.com/deploy/security/pdf/modplsql.pdf http://owasp.securitylab.ru/?ID=27090 http://owasp.securitylab.ru/?ID=27094 |