Oracle extproc目录遍历漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1201457 漏洞类型 未知
发布时间 2004-08-04 更新时间 2006-08-30
CVE编号 CVE-2004-1369 CNNVD-ID CNNVD-200408-004
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200408-004
|漏洞详情
OracleDatabase是一款商业性质大型数据库系统。Oracle10gextproc存在目录遍历问题,远程攻击者可以利用这个漏洞绕过目录限制,访问其他库。extproc验证'$ORACLE_HOME\bin'目录中的库,这主要是为了保证外部库不能被装载,但是存在一个目录遍历问题,可导致攻击者绕过目录限制,访问如libc和msvcrt.dll库,通过调用system()函数可执行任意OS命令。
|参考资料

来源:US-CERTTechnicalAlert:TA04-245A
名称:TA04-245A
链接:http://www.us-cert.gov/cas/techalerts/TA04-245A.html
来源:US-CERTVulnerabilityNote:VU#316206
名称:VU#316206
链接:http://www.kb.cert.org/vuls/id/316206
来源:XF
名称:oracle-tnslsnr-nsgr-dos(18664)
链接:http://xforce.iss.net/xforce/xfdb/18664
来源:BID
名称:10871
链接:http://www.securityfocus.com/bid/10871
来源:www.oracle.com
链接:http://www.oracle.com/technology/deploy/security/pdf/2004alert68.pdf
来源:www.ngssoftware.com
链接:http://www.ngssoftware.com/advisories/oracle23122004F.txt
来源:BUGTRAQ
名称:20041223OracleTNSListenerDoS(#NISR2122004F)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110382524401468&w=2
来源:SUNALERT
名称:101782
链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-101782-1