新书推介:《语义网技术体系》
作者:瞿裕忠,胡伟,程龚
   XML论坛     >>W3CHINA.ORG讨论区<<     计算机科学论坛     SOAChina论坛     Blog     开放翻译计划     新浪微博  
 
  • 首页
  • 登录
  • 注册
  • 软件下载
  • 资料下载
  • 核心成员
  • 帮助
    		•   Add to Google

    >> Oracle, SQL Server与XML,XML在数据挖掘中的应用, PMML.
    [返回] W3CHINA.ORG讨论区 - 语义网·描述逻辑·本体·RDF·OWLXML.ORG.CN讨论区 - 高级XML应用『 XML 与 数据库 』 → Oracle XML数据库缓冲区溢出漏洞[原创] 查看新帖用户列表

      发表一个新主题  发表一个新投票  回复主题  (订阅本版) 您是本帖的第 3348 个阅读者浏览上一篇主题  刷新本主题   树形显示贴子 浏览下一篇主题
     * 贴子主题: Oracle XML数据库缓冲区溢出漏洞[原创] 举报  打印  推荐  IE收藏夹 
       本主题类别:     
     yibingzheng 帅哥哟,离线,有人找我吗?
      
      
      威望:5
      头衔:一兵征
      等级:研一(帮老板干活拿了2000元)
      文章:818
      积分:4280
      门派:XML.ORG.CN
      注册:2004/4/30

    姓名:(无权查看)
    城市:(无权查看)
    院校:(无权查看)
    给yibingzheng发送一个短消息 把yibingzheng加入好友 查看yibingzheng的个人资料 搜索yibingzheng在『 XML 与 数据库 』的所有贴子 访问yibingzheng的主页 引用回复这个贴子 回复这个贴子 查看yibingzheng的博客楼主
    发贴心情 Oracle XML数据库缓冲区溢出漏洞[原创]

    严重程度:高
    威胁程度:远程管理员权限
    错误类型:边界检查错误
    利用方式:服务器模式

    BUGTRAQ ID:8447

    受影响系统
    Oracle Oracle9i Client Edition 9.2 .0.2
    Oracle Oracle9i Client Edition 9.2 .0.1
    Oracle Oracle9i Enterprise Edition 9.0.1
    Oracle Oracle9i Enterprise Edition 9.2 .0.2
    Oracle Oracle9i Enterprise Edition 9.2 .0.1
    Oracle Oracle9i Personal Edition 9.0.1
    Oracle Oracle9i Personal Edition 9.2 .0.2
    Oracle Oracle9i Personal Edition 9.2 .0.1
    Oracle Oracle9i Standard Edition 9.0
    Oracle Oracle9i Standard Edition 9.0.1 .4
    Oracle Oracle9i Standard Edition 9.0.1 .3
    Oracle Oracle9i Standard Edition 9.0.1 .2
    Oracle Oracle9i Standard Edition 9.0.1
    Oracle Oracle9i Standard Edition 9.0.2
    Oracle Oracle9i Standard Edition 9.2 .0.2
    Oracle Oracle9i Standard Edition 9.2 .0.1
    详细描述
    Oracle报告了Oracle 9i Release 2中的XML数据库功能存在远程缓冲区溢出。

    这些漏洞可以通过HTTP或者FTP服务触发,这些服务默认开启,如果攻击者拥有数据库合法的帐户信息,即使这些服务关闭也能利用这些漏洞。

    漏洞主要是XDB HTTP对用户提交的超长用户名或密码缺少正确检查。还有是XDB FTP服务对用户提交的用户名、TEST、UNLOCAK等命令缺少充分长度检查。

    测试代码
    尚无

    解决方案
    ORACLE建议管理员关闭服务:

    1,打开Oracle 9i数据库服务配置文件"INIT.ORA"
    2,在"dispatchers"参数行,删除如下字符串:

    ?(SERVICE=<sid-name>XDB)"

    <sid-name>是数据库SID。

    3,再重新启动数据库。


       收藏   分享  
    顶(0)
      




    ----------------------------------------------
    如果我不为自己打算,那么谁为我打算。如果我只为自己打算,那么我又算什么。

    点击查看用户来源及管理<br>发贴IP:*.*.*.* 2004/10/21 20:01:00
     
     chenkak 帅哥哟,离线,有人找我吗?
      
      
      等级:大一(猛啃高等数学)
      文章:14
      积分:129
      门派:XML.ORG.CN
      注册:2005/4/12

    姓名:(无权查看)
    城市:(无权查看)
    院校:(无权查看)
    给chenkak发送一个短消息 把chenkak加入好友 查看chenkak的个人资料 搜索chenkak在『 XML 与 数据库 』的所有贴子 引用回复这个贴子 回复这个贴子 查看chenkak的博客2
    发贴心情 
    有没有关于“数据库安全”方面的论文吗??
    点击查看用户来源及管理<br>发贴IP:*.*.*.* 2005/4/27 15:25:00
     
     yxt 帅哥哟,离线,有人找我吗?
      
      
      等级:大一新生
      文章:1
      积分:59
      门派:XML.ORG.CN
      注册:2005/4/30

    姓名:(无权查看)
    城市:(无权查看)
    院校:(无权查看)
    给yxt发送一个短消息 把yxt加入好友 查看yxt的个人资料 搜索yxt在『 XML 与 数据库 』的所有贴子 引用回复这个贴子 回复这个贴子 查看yxt的博客3
    发贴心情 

    这些就是需要我们平时多多注意的事情了

    点击查看用户来源及管理<br>发贴IP:*.*.*.* 2005/4/30 12:53:00
     
     GoogleAdSense
      
      
      等级:大一新生
      文章:1
      积分:50
      门派:无门无派
      院校:未填写
      注册:2007-01-01
    给Google AdSense发送一个短消息 把Google AdSense加入好友 查看Google AdSense的个人资料 搜索Google AdSense在『 XML 与 数据库 』的所有贴子 访问Google AdSense的主页 引用回复这个贴子 回复这个贴子 查看Google AdSense的博客广告
    2024/11/23 19:17:22

    本主题贴数3,分页: [1]

    管理选项修改tag | 锁定 | 解锁 | 提升 | 删除 | 移动 | 固顶 | 总固顶 | 奖励 | 惩罚 | 发布公告
    W3C Contributing Supporter! W 3 C h i n a ( since 2003 ) 旗 下 站 点
    苏ICP备05006046号《全国人大常委会关于维护互联网安全的决定》《计算机信息网络国际联网安全保护管理办法》
    		 78.125ms