Oracle 9i SQL*NET Listener远程拒绝服务漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1203943 漏洞类型 边界条件错误
发布时间 2002-08-14 更新时间 2005-08-17
CVE编号 CVE-2002-0856 CNNVD-ID CNNVD-200209-020
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200209-020
|漏洞详情
Oracle9i是Oracle公司开发的一套流行的商业数据库系统。其中SQL*NET允许客户端-服务器以及服务器-服务器之间通过网络进行通讯。SQL*NET提供了对SQL请求的分布式处理,就像从SQL客户端直接访问SQL数据库一样。Oracle9i的调试机制中存在一个安全漏洞,攻击者可以构造一个特殊的调试请求数据发送给Oracle9iSQL*NETlistener使其崩溃。所有的Oracle9i缺省安装都受到此漏洞影响。Oracle9i有一个调试功能,允许数据库管理员收集服务器运行的一些额外信息。这个调试功能缺省是打开的而且无法关闭。Oracle9iSQL*NETlistener没有正确处理某些特定类型的调试请求,如果攻击者通过网络发送这种请求,Oracle9i会崩溃,不能再继续响应正常的SQL请求。只有手工重启listener才能回复正常工作。
|参考资料

来源:XF
名称:oracle-listener-debug-dos(9237)
链接:http://www.iss.net/security_center/static/9237.php
来源:otn.oracle.com
链接:http://otn.oracle.com/deploy/security/pdf/2002alert38rev1.pdf
来源:BID
名称:5457
链接:http://www.securityfocus.com/bid/5457
来源:ISS
名称:20020813RemoteDenialofServiceVulnerabilityinOracle9iSQL*NET
链接:http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20941
来源:VULNWATCH
名称:20020813ISSSecurityBrief:RemoteDenialofServiceVulnerabilityinOracle9iSQL*NET
链接:http://archives.neohapsis.com/archives/vulnwatch/2002-q3/0072.html