J2EERI Pointbase數(shù)據(jù)庫遠(yuǎn)程命令執(zhí)行漏洞_JSP教程

教程Tag：暫無Tag,歡迎添加,賺取U幣!

推薦：學(xué)習(xí)JSP的經(jīng)典的入門學(xué)習(xí)資料
　一、 JSP 技術(shù)概述　　在 Sun 正式發(fā)布 JSP(JavaServer Pages) 之后，這種新的 Web 應(yīng)用開發(fā)技術(shù)很快引起了人們的關(guān)注。 JSP 為創(chuàng)建高度動態(tài)的 Web 應(yīng)用提供了一個獨(dú)特的開發(fā)環(huán)境。

信息提供：	安全公告（或線索）提供熱線：[email protected]
漏洞類別：	設(shè)計錯誤
攻擊類型：	嵌入惡意代碼
發(fā)布日期：	2003-12-16
更新日期：	2003-12-23
受影響系統(tǒng)：	Sun JDK 1.4.2_02
安全系統(tǒng)：	無
漏洞報告人：	Marc Schoenefeld （[email protected]）
漏洞描述：	BUGTRAQ ID: 9230 J2EE/RI Pointbase是一個純JAVA數(shù)據(jù)庫，可以方便的開發(fā)JAVA產(chǎn)品。 J2EE/RI (Reference Implementation) Pointbase數(shù)據(jù)庫存在安全問題，遠(yuǎn)程攻擊者可以利用這個漏洞通過jdbc插入任意代碼或?qū)?shù)據(jù)庫進(jìn)行拒絕服務(wù)攻擊。通過使用特殊構(gòu)建的SQL命令可導(dǎo)致在運(yùn)行pointbase數(shù)據(jù)庫的主機(jī)上執(zhí)行任意代碼。問題是由于jdk 1.4.2_02中的sun.和org.apache.庫中漏洞及不充分的安全設(shè)置導(dǎo)致。利用這些漏洞也可能使攻擊者對數(shù)據(jù)庫進(jìn)行拒絕服務(wù)攻擊。目前沒有詳細(xì)的漏洞細(xì)節(jié)提供。
測試方法：	無
解決方法：	臨時解決方法：如果您不能立刻安裝補(bǔ)丁或者升級，NSFOCUS建議您采取以下措施以降低威脅： * 建立一個安全策略文件，在利用此問題時產(chǎn)生安全異常來限制遠(yuǎn)程用戶執(zhí)行執(zhí)行任意命令。廠商補(bǔ)丁： Sun --- 目前廠商還沒有提供補(bǔ)丁或者升級程序，我們建議使用此軟件的用戶隨時關(guān)注廠商的主頁以獲取最新版本： http://sunsolve.sun.com/security