Sun J2EE/RI Pointbase数据库远程命令执行漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1202257 漏洞类型 SQL注入
发布时间 2003-12-16 更新时间 2009-06-02
CVE编号 CVE-2003-1573 CNNVD-ID CNNVD-200906-005
漏洞平台 N/A CVSS评分 10.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200906-005
|漏洞详情
J2EE/RIPointbase是一个纯JAVA数据库,可以方便的开发JAVA产品。J2EE/RI(ReferenceImplementation)Pointbase数据库存在安全问题,远程攻击者可以利用这个漏洞通过jdbc插入任意代码或对数据库进行拒绝服务攻击。通过使用特殊构建的SQL命令可导致在运行pointbase数据库的主机上执行任意代码。问题是由于jdk1.4.2_02中的sun.*和org.apache.*库中漏洞及不充分的安全设置导致。利用这些漏洞也可能使攻击者对数据库进行拒绝服务攻击。目前没有详细的漏洞细节提供。
|参考资料

来源:XF
名称:j2ee-pointbase-sql-injection(14008)
链接:http://xforce.iss.net/xforce/xfdb/14008
来源:XF
名称:pointbase-command-execution(14883)
链接:http://xforce.iss.net/xforce/xfdb/14883
来源:XF
名称:pointbase-information-disclosure(14882)
链接:http://xforce.iss.net/xforce/xfdb/14882
来源:XF
名称:pointbase-insecure-permissions-dos(14881)
链接:http://xforce.iss.net/xforce/xfdb/14881
来源:BID
名称:9230
链接:http://www.securityfocus.com/bid/9230
来源:SECTRACK
名称:1008491
链接:http://securitytracker.com/id?1008491
来源:SECUNIA
名称:10460
链接:http://secunia.com/advisories/10460
来源:BUGTRAQ
名称:20031216J2EE1.4referenceimplementation:databasecomponentallowsremotecodeexecution
链接:http://seclists.org/bugtraq/2003/Dec/0249.html
来源:FULLDISC
名称:20040118Proof-Of-ConceptDenial-Of-ServicePointbase4.6JavaSQL-DB
链接:http://archives.neohapsis.com/archives/fulldisclosure/2004-01/0675.html
来源:BUGTRAQ
名称:20040118Proof-Of-ConceptDenial-Of-ServicePointbase4.6JavaSQL-DB
链接:http://archives.neohapsis.com/archives/bugtraq/2004-01/0148.html