English

◀◁ 뒤로 취약점ID 22144 위험도 30 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 Oracle 9i Application 서버의 WEB-INF 디렉토리는 액세스 가능하게 되어 있다. Oracle 9i Application Server (9iAS)는 Oracle 사에 의해 배포된 웹 어플리케이션 서버의 기본 설비이다. WEB-INF 디렉토리를 가진 Oracle 9iAS에는 문제점이 존재하는 것으로 보고되어 있다. 어떤 조건 아래에서 그 문제점은 원격지의 사용자가 WEB-INF 디렉토리의 내용들을 액세스 할 수 있게 해 준다. 이를 통해 원격지의 사용자는 웹 어플리케이션들의 소스코드를 액세스하거나 중요한 자료를 가져갈 수 있다. * 영향을 미치는 플랫폼: Oracle 9i Application Server 1.0.2.2 Oracle 9i Application Server Release 2 9.0.2.0.0 Oracle 9i Application Server Release 2 9.0.2.0.1 해결책 이 취약점에 대해서는 다음과 같이 메인 httpd.conf 파일에 다음 엔트리를 추가하여 모든 WEB-INF 디렉토리들에 대한 액세스를 차단하여야 한다. <DirectoryMatch WEB-INF> Order deny,allow Deny from all </DirectoryMatch> 이 취약점은 다음 Oracle Security Alert #47에 있듯이 마이크로소프트 윈도우즈 NT용으로 Oracle 9i Application Server 버전 9.0.2.0.1, 그리고 유닉스 용으로 Oracle 9i Application Server 9.0.3에서 수정된 것으로 보고되었다. 웹 사이트에서는 수정된 버전을 다운로드 할 수 없으므로 벤더에 문의하여 수정된 버전으로 업그레이드 해야한다. 관련 URL (CVE) 관련 URL 6461 (SecurityFocus) 관련 URL 10930 (ISS)