Oracle 9iAS 不存在的 .jsp 文件请求错误消息路径泄露

medium Nessus 插件 ID 11226

语言:

简介

获得远程服务器 Web 根目录的物理路径是可能的。

描述

Oracle 9iAS 允许远程攻击者通过发送不存在的 .JSP 文件的请求,来获得服务器根目录下文件的物理路径。
生成的默认错误信息会泄露路径名称。

解决方案

确保 URL 的虚拟路径不同于实际的目录路径。此外,请勿使用“ApJServMount <servletzonepath> <servletzone>”中的 <servletzonepath> 目录来存储数据或文件。

升级到 Oracle 9iAS 1.1.2.0.0 也可以修复该问题。

另见

http://www.nessus.org/u?8d439be5

http://www.nessus.org/u?97653726

插件详情

严重性: Medium

ID: 11226

文件名: oracle9i_jspdefaulterror.nasl

版本: 1.29

类型: remote

系列: Databases

发布时间: 2003/2/11

最近更新时间: 2022/4/11

配置: 启用全面检查

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 3.3

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

漏洞信息

CPE: cpe:/a:oracle:application_server

必需的 KB 项: www/OracleApache

易利用性: No known exploits are available

补丁发布日期: 2002/2/6

漏洞发布日期: 2004/4/9

参考资料信息

CVE: CVE-2001-1372

BID: 3341

CERT: 278971

CERT-CC: CA-2002-08