English

◀◁ 뒤로 취약점ID 25048 위험도 30 포트 1521, ... 프로토콜 TCP 분류 DB 상세설명 Oracle Database 서버의 버전 정보에 따르면 해당 서버에는 다중의 디렉토리 탐색 취약점들이 존재한다. Oracle8i and 9i Database 서버들은 원격지의 인증받은 공격자가 Oracle Database 서버의 권한으로 임의의 파일들을 읽거나 쓰거나 혹은 개명(rename)할 수 있게 해 줄 수 있는 다중의 디렉토리 탐색 취약점들에 취약하다. 이 취약점들은 파일 처리 함수들로 전달된 파일명 그리고 경로명들에 대해 수행된 입력값에 대한 타당성 검증의 결함으로 인해 존재하는 것으로 보고 되어 있다. 이는 악의적인 SQL 질의를 통해 Oracle 디렉토리 오브젝트(object)에 정의되어 있는 디렉토리의 외부를 탐색할 수 있게 해 줄 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 Oracle 데이터베이스 서버의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://securityfocus.com/archive/1/392527 http://www.argeniss.com/research/ARGENISS-ADV-030501.txt http://www.petefinnigan.com/directory_traversal.pdf http://www.oracle.com/technetwork/topics/security/cpu-jan-2005-advisory-129526.pdf * 영향을 받는 플랫폼: Oracle Corporation, Oracle8i Database Server Any version Oracle Corporation, Oracle9i Database Server Any version Microsoft Windows Any version Linux Any version Unix Any version * 영향을 받는 플랫폼: Oracle Database 서버 해결책 Oracle 사는 이 문제들을 해결할 수 있는 Critical Patch Update를 내놓았다. 적절한 패치 획득 및 적용에 관한 정보는 다음 2005년 1월 Oracle Critical Patch Update에서 찾을 수 있다: http://www.oracle.com/technetwork/topics/security/cpu-jan-2005-advisory-129526.pdf -- 혹은 -- 임시 조치방법으로 Directory Object들과 UTL_FILE 패키지에 대한 액세스를 제한한다. 관련 URL (CVE) 관련 URL 12749 (SecurityFocus) 관련 URL (ISS)