Доступ к JSP файлам в Oracle 9iAS
| Дата публикации: | 08.02.2002 |
| Всего просмотров: | 1494 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Oracle 9iAS web service увеличивает производительность Apache web сервера. Служба включает поддержку поставки JSP страниц.
Когда пользователь запрашивает JSP страницу от сервера, выполняющего OracleJSP, создаются 3 файла. Эти файлы содержат потенциально чувствительную информацию. Например, если файл назывался file.jsp, созданные файлы будут называться:
_file$ __ JSP_StaticText.class Эти файлы сохранены в дереве каталога /_pages. Проблема состоит в том, что .java файл содержит исходный текст, и к нему могут обращаться произвольные web пользователи. Уязвимость может приводить к раскрытию опознавательной информации базы данных любому пользователю, который сможет предположить путь к непереведенному .java файлу, в дополнение к раскрытию других типов потенциально чувствительной информации. Кроме того, к файлам globals.jsa можно обращаться таким способом, также потенциально раскрывая чувствительную информацию удаленным нападающим. Уязвимость найдена в Oracle Oracle9i 9.0 - 9.0.1, Oracle Oracle9iAS Web Cache 2.0.0.0 - 2.0.0.3 |
| Ссылки: | Источник |