详细描述:
Oracle应用服务器是一个综合解决方案,用于开发、集成和部署企业的应用系统、门户和网站。
Oracle应用服务器对URL中植入的参数处理上存在漏洞,成功利用这个漏洞的攻击者可以利用跨站脚本攻击进行网络钓鱼或会话劫持等。
Oracle应用服务器的Session URL Rewriting函数可能允许在URL中植入并指定会话管理参数。在该函数中,服务程序将指定的会话管理参数重新设置为Cookie的时候没有正确地过滤特殊字符,这样如果所指定的会话管理参数中包含有以换行代码为前缀的任意内容的话,就可能在响应中输出任意HTTP首部或内容。
受影响系统:
Oracle Oracle 9i Application Server Release 2 9.0.2.3
Oracle Application Server 10g Release 2 10.1.2.0
Oracle Application Server 10g Release 1 9.0.4.2
补丁下载:
Oracle已经为此发布了一个安全公告(cpuoct2005)以及相应补丁:
cpuoct2005:Oracle Critical Patch Update - October 2005
链接:http://www.oracle.com/technology/deploy/security/pdf/cpuoct2005.html
Oracle应用服务器URL参数存在漏洞
来源:瑞星反病毒资讯网
作者:未知
时间:2005-10-26
点击:
最新评论共有 0 位网友发表了评论
查看所有评论
发表评论
- 赞助商连接
热点关注
- 利用外部命令Oralce数据库
- Oracle函数之常见的单行字
- Oracle收购Siebel 中国CRM
- Oracle数据库全文索引查询
- Oracle数据库全文索引设置
- Linux平台下数据库资源使
- Oracle更新修复多个安全漏
- Oracle应用服务器URL参数
- SQL 2005的SSIS与Oracle的
- 全面剖析Oracle数据库中的
- 如何用智能优化器提高Orac
- Sybase和Oracle安装过程中
- SQL链接Oracle,数据长度
- 教你如何快速转移Oracle中
- 推出PeopleSoft企业学习管
- 对于数据库系统中使用临时
- Oracle修补安全漏洞 含23
- TeamDBA发布数据库恢复和
- 甲骨文数据库发布7月紧急
- Oracle 承诺整合Fusion的