Aradığınız içerik sitemizde mevcut durumdadır
buradan sitemize dönebilirsiniz !
Forum Başlıklarına gitmek için tıklayınız
Oracle AS PLSQL ... Güvenlik Acigi !
Etkisi: Ağ üzerinden istenilen kodun çalıştırılabilmesi, ağ üzerinden erişim
Oracle uygulama sunucusunun PLSQL Gateway bileşeninde bir güvenlik açığı olduğu rapor edildi. Uzaktaki bir kullanıcı web sunucusu üzerinden arkadaki veritabanı sunucusuna erişebiliyor.
Kullanıcılar uzaktan PLSQLExclusion listesini bypass ederek hariç tutulmuş paketlere ve prosedürlere erişebiliyorlar. Bunun sonucunda da web sunucusunun ve ilişkili veritabanının kontrolünü ellerine geçirebiliyorlar.
PLSQL Gateway, iAS, OAS ve Oracle HTTP sunucusunun bir bileşeni.
Çözüm:
Oracle 26 Ekim 2005 tarihinde haberdar edilmesine karşın henüz bir yama çıkarmamış.
Açığı bulan NGSSoftware aşağıdaki geçici çözümü öneriyor:
Oracle’ın Apache dağıtımında derlenmiş olarak gelen mod_rewrite kullanımı ile saldırıları engellemek mümkün. Çözüm kullanıcının web isteğinde parantez ’)’ olup olmadığını kontrol ediyor.
httpd.conf dosyanıza aşağıdaki satırları ekleyin ve web sunucusunu durdurup tekrar başlatın:
RewriteEngine on
RewriteCond %{QUERY_STRING} ^.*\).*|.*%29.*$
RewriteRule ^.*$ http://127.0.0.1/denied.htm?attempted-attack
RewriteRule ^.*\).*|.*%29.*$ http://127.0.0.1/denied.htm?attempted-attack
Kaynak: http://securitytracker.com/id?1015544
http://www.olympos.org/article/articleview/1641/1/24/oracle_as_plsql_gateway_plsqlexclusion_list_guvenlik_acigi
Hosting Sponsorumuz - Noktahost internet hizmetleri