VULHUB ™

Oracle 9i应用服务器基于Apache Web服务器，支持SOAP、PL/SQL、XSQL、JSP等环境。 PL/SQL Apache module for Oracle 9iAS提供了对数据库访问描述符的远程管理和帮助页。 此程序模块存在输入验证错误，可以使远程攻击者遍历主机上的目录，读取任意有权限读取的文件。 由于Oracle PL/SQL Apache模块对用户提交的请求进行了二次解码，攻击者可以通过提交包含二次编码的\"../\"(\\%252F..\\%252F)的请求给服务器，就可能遍历主机的目录，读取任意文件。这个问题只存在于Microsoft Windows NT/2000操作系统，然而因为Apache进程是以SYSTEM权限运行的，所以攻击者基本上可以通过Web读取任意文件。 ＜*链接：http：//archives.neohapsis.com/archives/bugtraq/2001-12/0225.html http：//otn.oracle.com/deploy/security/pdf/modplsql.pdf *＞

Oracle 9i应用服务器基于Apache Web服务器，支持SOAP、PL/SQL、XSQL、JSP等环境。 PL/SQL Apache module for Oracle 9iAS提供了对数据库访问描述符的远程管理和帮助页。 此程序模块存在输入验证错误，可以使远程攻击者遍历主机上的目录，读取任意有权限读取的文件。 由于Oracle PL/SQL Apache模块对用户提交的请求进行了二次解码，攻击者可以通过提交包含二次编码的\"../\"(\\%252F..\\%252F)的请求给服务器，就可能遍历主机的目录，读取任意文件。这个问题只存在于Microsoft Windows NT/2000操作系统，然而因为Apache进程是以SYSTEM权限运行的，所以攻击者基本上可以通过Web读取任意文件。 ＜*链接：http：//archives.neohapsis.com/archives/bugtraq/2001-12/0225.html http：//otn.oracle.com/deploy/security/pdf/modplsql.pdf *＞