English

◀◁ 뒤로 취약점ID 12029 위험도 30 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 Oracle WebServer 는 긴 URL 요청을 통한 서비스 거부 공격에 취약하다. Oracle Webserver 는 WWW 서버와 오라클 7.0을 통합한 제품이다. 이 Oracle WebServer 의 버전 2.1 은 아주 긴 URL을 요청함으로써 서버를 서비스 거부(Denial of Service) 상태에 이르게 할 수 있다. 이 취약점은 /ows-bin/에서 PL/SQL Stored Procedure 가 가동될 때, 원격지 공격자들이 다음과 같이 CGI /ows-bin/fnord 에 아주 긴 문자열을 추가한 URL 요청을 다음과 같이 서버에 전달하면, GET /ows-bin/fnord?foo=AAAAA....['A'*2048]....AAAAA 원격지 웹 서버는 크래쉬(crash) 될 수 있다. 이러한 취약점을 도용하여 공격자들은 정상적인 사용자가 웹 서버에 접속하는 것을 방해할 수 있다. * 참고 사이트: http://archives.neohapsis.com/archives/bugtraq/1997_3/0135.html http://www.iss.net/security_center/static/1812.php * 영향을 받는 플랫폼: Oracle WebServer 2.1 해결책 2014년 6월 현재 업그레이드나 패치는 나와있지 않다. 임시 조치방법으로 관리자들은 인가된 호스트에 한해서 서버를 액세스(access)할 수 있도록 액세스(access)를 제한하거나 혹은 CGI "fnord" 를 제거한다. 관련 URL CVE-1999-1068 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)