Oracle出现六个安全漏洞 三个高危

2016-02-19 18:44 7 1 收藏

图老师设计创意栏目是一个分享最好最实用的教程的社区,我们拥有最用心的各种教程,今天就给大家分享Oracle出现六个安全漏洞 三个高危的教程,热爱PS的朋友们快点看过来吧!

【 tulaoshi.com - 编程语言 】

  由于担心甲骨文没有修复的多个安全漏洞会造成危害,一位安全研究人员公开了六个安全漏洞(其中有三个高风险漏洞)并且提供了绕过这些安全漏洞的方法。

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/bianchengyuyan/)

  Red-Database-Security GmbH公司的一位安全研究人员Alexander Kornbrust称,在他公开这些安全漏洞的细节之前,他曾试图公平地与甲骨文打交道。但是,650多天(663天至718天之间)的等待应该足够了,特别是对于一家大公司来说。他补充说,他在三个月前还曾通知甲骨文说,如果甲骨文在7月份的安全补丁中不修复这些安全漏洞,他将公开宣布这些安全漏洞。Kornbrust还向甲骨文提供了额外的时间修复这些安全漏洞,如果甲骨文需要延长时间的话。但是,甲骨文从来没有要求额外的时间。

  Kornbrust的情况并不是孤立的。业内普遍都知道,包括NGSSoftware软件公司的David Litchfield在内的许多安全人员都曾向甲骨文报告过安全问题,而甲骨文一直都没有解决。许多报告的安全问题都有一年多时间了。

  有些人认为,甲骨文和Red-Database-Security公司之间存在沟通问题。Kornbrust说,存在沟通问题是可能的。但是,为什么David Litchfield报告的13高危等级的安全漏洞和4个中等的安全漏洞在将近一年的时间里都没有修复呢?甲骨文下一次发布安全补丁的时间是在2005年10月份,那些漏洞的报告时间超过一年了。我听说iDefense和AppSecInc等公司也对缓慢的安全漏洞处理过程提出了同样的抱怨。

  Kornbrust表示,最严重的一个安全漏洞能够通过“Oracle Reports”中的“desname”程序覆盖任何文件。这个安全漏洞影响Oracle Reports6.0、6i、9i和10g版本。Oracle Reports是甲骨文应用服务器软件中的一个组件,用于电子商务套装软件中,大多数大型企业都使用这个软件作为企业应用的报告工具。他说,通过修改一个URL,黑客能够摧毁在网络上的甲骨文应用服务器。通过“Google Hacking”可以查找到安全漏洞报告服务器。黑客在几分钟之内就可以摧毁几台应用服务器。他还指出,两个允许操作系统执行命令的安全漏洞也特别严重。“Oracle Forms Services”中存在一个高危等级的安全漏洞。这个软件是甲骨文应用服务器软件的一个组件,用于甲骨文电子商务套装软件和许多企业应用程序中。Kornbrust说,这个安全漏洞能够让操作系统执行命令。

  这个安全漏洞影响甲骨文Oracle (Web) Forms 4.5、5.0、6.0、6i、9i和10g版。

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/bianchengyuyan/)

  “Oracle Forms Services”可以从任何目录和任何在应用服务器中的用户那里启动可执行的表格(*.fmx)文件。Kornbrust在安全公告中称,这些表格可以作为甲骨文用户和系统(Windows)用户执行。攻击者向应用服务器上载一个精心制作的可执行表格文件就可以执行任何操作系统命令并且接管应用服务器的控制权。文件上载可通过Webdav、SMB、Webutil、SAMBA、NFS和FTP等多种途径。通过使用这种表格或者具有绝对路径的模块参数,攻击者就可以从任何目录和任何用户那里执行那些可执行的表格文件。

  还有一个高风险安全漏洞能够让攻击者通过未经授权的“Oracle Reports”软件运行任何操作系统命令。这个安全漏洞影响Oracle Reports 6.0、6i、9i和10g版。

  这个安全公告称:“Oracle Reports”能够从应用服务器中的任何目录和任何用户那里启动可执行的报告文件(*.rep 或者 *.rdf文件)。这些报告可作为甲骨文用户或者系统(Windows)用户执行。攻击者向应用服务器上载精心制作的报告文件就可以执行任何系统命令或者读、写应用服务器中的文件(如包含甲骨文口令的wdbsvr.app文件)。通过使用这种具有绝对路径的报告参数,攻击者就可以从任何目录和任何用户那里执行那些可执行的报告文件。

  其它安全漏洞不太严重,包括两个中等风险的信息暴露安全漏洞,一个“desformat”安全漏洞,和另一个在个性化参数中的漏洞。其余的低风险的交叉站点脚本影响“Oracle Reports”软件。

  Korbrust建议说,用户应该认真阅读这些安全公告,设法理解这些问题并且首先在自己的测试系统中采取绕过这些漏洞的措施。如果通过测试,他们应该在生产系统中采取这些绕过漏洞的措施。

  Kornbrust做结论说,用户应该质问甲骨文,为什么它要用这样长的时间修复这些安全漏洞。是甲骨文的安全团队太小不能处理所有这些问题吗?

来源:http://www.tulaoshi.com/n/20160219/1618846.html

延伸阅读
标签: 电脑入门
据国外媒体报道,周二,微软发布了两个安全补丁修复了Windows操作系统中的三个漏洞,其中包括影响Windows XP、Vista的危急级别补丁以及影响Windows 7的重要级别补丁。 微软在其安全响应中心博客中指出,目前,我们尚未获知外界利用这些漏洞去展开有效的攻击。 在此次发布的安全补丁中,微软并没有修复不久前曝光的IE浏览器0day漏洞和Wi...
标签: MySQL mysql数据库
  所有小于 3.23.31 版本的 MySQL 都存在一个缓冲溢出漏洞导致MySQL 崩溃。使攻击者获得 mysqld 权限,而可以操纵所有数据库。攻击的前提是必须有一个合法的登录名和口令。 下面为最初发表于 MySQL 邮件列表的信件摘要。 ================================================== 漏洞是由Jo?o Gouveia 于1月12日发现的: 步骤: ...
标签: 问题肌肤
六个护肤秘方 轻松告别肌肤问题。每个女孩子心目中都有一个公主梦,希望自己像公主一样的漂亮,可以拥有洁白无暇的肌肤!可现实生活中她们总是要面对各种各样的肌肤问题,比如说雀斑、皱纹以及皮肤暗沉等。那么,如何才能解决这些肌肤问题?下面我们就来教你六个护肤秘方: 六个护肤秘方 轻松告别肌肤问题 除雀斑:杏仁+蛋清 杏...
标签: 美容护肤 护肤
在这个春暖花开的季节,菇凉们是不是已经开始美白了呢?市面上有很多美白护肤品,而民间也有很多流传的 美白小窍门 ,不知道大家会选择什么样的美白方式呢?今天图老师小编小编给大家带来了几种实用又安全的美白方法,美眉们不妨试一试吧! 美白小窍门 一、芦荟美白 将芦荟、黄瓜放入榨汁机榨汁后倒入小碗,然后加入蛋清、适量珍珠粉和面...
怎么关闭360安全卫士高危漏洞提示   1、打开360安全卫士,并点击右上角主菜单设置选项 2、打开设置后,我们在左边的设置列表中找到弹窗设置,点击后会展开详细设置列表,我们选中漏洞修复方式 3、然后在右侧窗口选择关闭弹窗提醒,不修复,最后确定就可以了

经验教程

819

收藏

92
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部

如果您有什么好的建议或者疑问,可以联系我们。 商务合作QQ:3272218541;3282258740。商务合作微信:13319608704;13319603564。

加好友请备注机构名称。让我们一起学习、一起进步tulaoshi.com 版权所有 © 2019 All Rights Reserved. 湘ICP备19009391号-3

微信公众号