English

◀◁ 뒤로 취약점ID 21200 위험도 40 포트 80, ... 프로토콜 TCP 분류 Servlet 상세설명 외부에서 Oracle XSQL 페이지에 대한 Request를 보낼 때 악의적인 XSLT stylesheet의 URL을 줌으로써, 공격자는 Oracle XSQL Servlet이 임의의 Java 코드를 수행하도록 할 수 있다. * 영향을 받는 플랫폼: Oracle XSQL Servlet 해결책 Oracle이 특정 XSQL servlet에 대해 정해져 있는 동작(default behaviour)이 클라이언트가 제공한 stylesheet로 동작하지 않도록 변경할 때까지, 이 문제를 다음과 같이 조치해야 한다. 해당 웹서버 상의 모든 xsql 페이지의 document element에 allow-client-style='no'를 추가한다. 이 점검항목은 airport.xsql이라는 예제 페이지를 이용하여 취약성 테스트를 하였다. 이 예제 페이지는 Oracle XSQL 서블릿과 함께 제공된다. 예제 코드들은 대개 많은 문제를 가지고 있을 수 있으므로 반드시 production 서버로 부터 제거해야 한다. 관련 URL CVE-2001-0126 (CVE) 관련 URL (SecurityFocus) 관련 URL 5905 (ISS)