Дата публикации: | 18.03.2002 |
Всего просмотров: | 1372 |
Опасность: | |
Наличие исправления: | |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | |
Воздействие: | |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | |
Описание: | Найдено несколько уязвимостей в Oracle 9i Application Server: 1. Приложение OWA_UTIL PL/SQL поставляется с множеством сохраненных процедур, которые могут быть доступны анонимно через Web. Эти сохраненные процедуры могут раскрывать большое количество чувствительной информации Web пользователю, который обращается к ним. Также существует потенциал для выполнения произвольных SQL запросов. 2. Пакет Oracle 9iAS включает XSQL Servlet как часть XML Development kit.
Инструмент может использоваться, чтобы преобразовать ответ от SQL запроса в XML
формат. 3. Служба Oracle 9iAS web service содержит Apache модуль для поддержки PL/SQL.
Административные web-страницы, связанные с этим сервером позволяют Web
пользователю изменять Database Access Descriptors и параметры настройки кэша.
4.Oracle 9iAS включает два важных файла конфигурации по имени "XSQLCONFIG.XML" и "soapConfig.XML". Файлы конфигурации содержат чувствительную информацию, типа имен пользователя базы данных и паролей. |
Ссылки: | http://www.nextgenss.com/papers/hpoas.pdf |