知识大全 Oracle研究人员公布高危安全漏洞

Posted 甲骨文

篇首语:谨慎和勤奋带来好运。本文由小常识网(cha138.com)小编为大家整理,主要介绍了知识大全 Oracle研究人员公布高危安全漏洞相关的知识,希望对你有一定的参考价值。

Oracle研究人员公布高危安全漏洞  以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!

由于担心甲骨文没有修复的多个安全漏洞会造成危害 一位安全研究人员公开了六个安全漏洞(其中有三个高风险漏洞)并且提供了绕过这些安全漏洞的方法

  Red Database Security GmbH公司的一位安全研究人员Alexander Kornbrust称 在他公开这些安全漏洞的细节之前 他曾试图公平地与甲骨文打交道 但是 多天( 天至 天之间)的等待应该足够了 特别是对于一家大公司来说 他补充说 他在三个月前还曾通知甲骨文说 如果甲骨文在 月份的安全补丁中不修复这些安全漏洞 他将公开宣布这些安全漏洞 Kornbrust还向甲骨文提供了额外的时间修复这些安全漏洞 如果甲骨文需要延长时间的话 但是 甲骨文从来没有要求额外的时间

  Kornbrust的情况并不是孤立的 业内普遍都知道 包括NGSSofare软件公司的David Litchfield在内的许多安全人员都曾向甲骨文报告过安全问题 而甲骨文一直都没有解决 许多报告的安全问题都有一年多时间了

  有些人认为 甲骨文和Red Database Security公司之间存在沟通问题 Kornbrust说 存在沟通问题是可能的 但是 为什么David Litchfield报告的 高危等级的安全漏洞和 个中等的安全漏洞在将近一年的时间里都没有修复呢?甲骨文下一次发布安全补丁的时间是在 年 月份 那些漏洞的报告时间超过一年了 我听说iDefense和AppSecInc等公司也对缓慢的安全漏洞处理过程提出了同样的抱怨

  Kornbrust表示 最严重的一个安全漏洞能够通过 Oracle Reports 中的 desname 程序覆蓋任何文件 这个安全漏洞影响Oracle Reports i i和 g版本 Oracle Reports是甲骨文应用服务器软件中的一个组件 用于电子商务套装软件中 大多数大型企业都使用这个软件作为企业应用的报告工具 他说 通过修改一个URL 黑客能够摧毁在网络上的甲骨文应用服务器 通过 Google Hacking 可以查找到安全漏洞报告服务器 黑客在几分钟之内就可以摧毁几台应用服务器 他还指出 两个允许操作系统执行命令的安全漏洞也特别严重 Oracle Forms Services 中存在一个高危等级的安全漏洞 这个软件是甲骨文应用服务器软件的一个组件 用于甲骨文电子商务套装软件和许多企业应用程序中 Kornbrust说 这个安全漏洞能够让操作系统执行命令

  这个安全漏洞影响甲骨文Oracle (Web) Forms i i和 g版

   Oracle Forms Services 可以从任何目录和任何在应用服务器中的用户那里启动可执行的表格(* fmx)文件 Kornbrust在安全公告中称 这些表格可以作为甲骨文用户和系统(Windows)用户执行 攻击者向应用服务器上载一个精心制作的可执行表格文件就可以执行任何操作系统命令并且接管应用服务器的控制权 文件上载可通过Webdav SMB Webutil SAMBA NFS和FTP等多种途径 通过使用这种表格或者具有绝对路径的模块参数 攻击者就可以从任何目录和任何用户那里执行那些可执行的表格文件

  还有一个高风险安全漏洞能够让攻击者通过未经授权的 Oracle Reports 软件运行任何操作系统命令 这个安全漏洞影响Oracle Reports i i和 g版

  这个安全公告称: Oracle Reports 能够从应用服务器中的任何目录和任何用户那里启动可执行的报告文件(* rep 或者 * rdf文件) 这些报告可作为甲骨文用户或者系统(Windows)用户执行 攻击者向应用服务器上载精心制作的报告文件就可以执行任何系统命令或者读 写应用服务器中的文件(如包含甲骨文口令的wdbsvr app文件) 通过使用这种具有绝对路径的报告参数 攻击者就可以从任何目录和任何用户那里执行那些可执行的报告文件

  其它安全漏洞不太严重 包括两个中等风险的信息暴露安全漏洞 一个 desformat 安全漏洞 和另一个在个性化参数中的漏洞 其余的低风险的交叉站点脚本影响 Oracle Reports 软件

  Korbrust建议说 用户应该认真阅读这些安全公告 设法理解这些问题并且首先在自己的测试系统中采取绕过这些漏洞的措施 如果通过测试 他们应该在生产系统中采取这些绕过漏洞的措施

cha138/Article/program/Oracle/201311/17898

相关参考

知识大全 官方公布Oracle 10g OCA考试已经开始

官方公布Oracle10gOCA考试已经开始  以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!  文章

知识大全 Oracle高层将在下周三公布Sun路线图

Oracle高层将在下周三公布Sun路线图  以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!  Ora

知识大全 Oracle蠕虫再次变异

Oracle蠕虫再次变异  以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!一个流行的安全邮件列表中公布

知识大全 MySQL 5.0.91最终版发布 修复高危漏洞

MySQL5.0.91最终版发布修复高危漏洞  以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!&nbs

根据《中共中央国务院关于推进安全生产领域改革发展的意见》,加强安全风险管控,高危项目审批必须把()作为前置条件,城乡规划布局、设计、建设、管理等各项工作必须以安全为前提,实行重大安全风险“一票否决”。

电力安全生产知识竞赛题:根据《中共中央国务院关于推进安全生产领域改革发展的意见》,加强安全风险管控,高危项目审批必须把()作为前置条件,城乡规划布局、设计、建设、管理等各项工作必须以安全为前提,实行重

根据《中共中央国务院关于推进安全生产领域改革发展的意见》,加强安全风险管控,高危项目审批必须把()作为前置条件,城乡规划布局、设计、建设、管理等各项工作必须以安全为前提,实行重大安全风险“一票否决”。

电力安全生产知识竞赛题:根据《中共中央国务院关于推进安全生产领域改革发展的意见》,加强安全风险管控,高危项目审批必须把()作为前置条件,城乡规划布局、设计、建设、管理等各项工作必须以安全为前提,实行重

依据《国务院关于坚持科学发展安全发展 促进安全生产形势持续稳定好转的意见》(国发[2011]40号),要求严格安全生产准入制度,严把行业准入关,强化建设项目安全核准。其中,针对高危行业建设项目立项、审

依据《国务院关于坚持科学发展安全发展促进安全生产形势持续稳定好转的意见》(国发[2011]40号),要求严格安全生产准入制度,严把行业准入关,强化建设项目安全核准。其中,针对高危行业建设项目立项、审批

依据《国务院关于坚持科学发展安全发展 促进安全生产形势持续稳定好转的意见》(国发[2011]40号),要求严格安全生产准入制度,严把行业准入关,强化建设项目安全核准。其中,针对高危行业建设项目立项、审

依据《国务院关于坚持科学发展安全发展促进安全生产形势持续稳定好转的意见》(国发[2011]40号),要求严格安全生产准入制度,严把行业准入关,强化建设项目安全核准。其中,针对高危行业建设项目立项、审批

知识大全 怎么做好高危行业风险管控

怎么做好高危行业风险管控1.编制《风险分级管控体系实施指南》。2.编制《事故隐患排查治理指南》。3.制定实施专项责任制度。4.制定实施考核标准。5.看展逐级安全专题培训。6.岗位、车间典型示范。7.总

什么是高危新生儿?

所谓高危新生儿,是指由于母亲或小儿自身的因素,使小儿已经发生或有可能发生严重疾病的新生儿。医护人员常对高危儿进行特殊的监护。属于下列情况之一者,即归为高危新生儿:  1.母亲在孕期患有各种慢性或严重疾