English

◀◁ 뒤로 취약점ID 22350 위험도 30 포트 7779, ... 프로토콜 TCP 분류 WWW 상세설명 Oracle9iAS Web Cache의 배너 정보에 따르면 해당 서버에는 다중의 취약점들(2)이 존재한다. Oracle9iAS Application Server Webcache 9.0.4.0 이전의 버전들은 임의의 파일 깨뜨리기 취약점과 다중의 Cross-Site Scripting 취약점들에 취약하다: 1) 다중의 Cross-Site Scripting 취약점들: "webcacheadmin" 스크립트에 있는 "cache_dump_file" 그리고 "PartialPageErrorPage" 인수들로 건네진 사용자 제공 입력은 사용자들에게 반환되기 전에 적절하게 필터링되지 않는다. 이는 취약한 사이트의 환경 하에서 사용자의 브라우저 세션으로 임의의 HTML과 스크립트 코드를 실행하는데 도용될 수 있다. 2) 임의의 파일 깨뜨리기 취약점: 공격자는 "webcacheadmin" 스크립트의 "cache_dump_file" 인수를 통하여 파일명들을 전달함으로써 영향을 받는 호스트 상에 있는 임의의 파일들을 망가뜨릴 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 HTTP 서버의 배너 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://www.red-database-security.com/advisory/oracle_webcache_append_file_vulnerabilitiy.html http://www.red-database-security.com/advisory/oracle_webcache_CSS_vulnerabilities.html http://secunia.com/advisories/15143/ * 영향을 받는 플랫폼: Oracle, Oracle9iAS Application Server Webcache 9.0.4.0 이전의 버전들 모든 운영체제 모든 버전 해결책 보고에 의하면 Oracle 사는 권고안을 만들어 내지 않고 조용하게 취약점들을 수정했다고 한다. Oracle Support 웹 페이지인 http://www.oracle.com/support/index.html 에서 구할 수 있는 가장 최신의 패치들을 적용하여야 한다. 관련 URL CVE-2005-1381,CVE-2005-1382 (CVE) 관련 URL 13420,13421,13422 (SecurityFocus) 관련 URL (ISS)