J2EERI Pointbase數(shù)據(jù)庫遠程命令執(zhí)行漏洞_JSP教程

教程Tag：暫無Tag,歡迎添加,賺取U幣!

推薦：學習JSP的經(jīng)典的入門學習資料
　一、 JSP 技術(shù)概述　　在 Sun 正式發(fā)布 JSP(JavaServer Pages) 之后，這種新的 Web 應用開發(fā)技術(shù)很快引起了人們的關注。 JSP 為創(chuàng)建高度動態(tài)的 Web 應用提供了一個獨特的開發(fā)環(huán)境。

信息提供：	安全公告（或線索）提供熱線：51cto.editor@gmail.com
漏洞類別：	設計錯誤
攻擊類型：	嵌入惡意代碼
發(fā)布日期：	2003-12-16
更新日期：	2003-12-23
受影響系統(tǒng)：	Sun JDK 1.4.2_02
安全系統(tǒng)：	無
漏洞報告人：	Marc Schoenefeld （marc.schoenefeld@uni-muenster.de）
漏洞描述：	BUGTRAQ ID: 9230 J2EE/RI Pointbase是一個純JAVA數(shù)據(jù)庫，可以方便的開發(fā)JAVA產(chǎn)品。 J2EE/RI (Reference Implementation) Pointbase數(shù)據(jù)庫存在安全問題，遠程攻擊者可以利用這個漏洞通過jdbc插入任意代碼或?qū)?shù)據(jù)庫進行拒絕服務攻擊。通過使用特殊構(gòu)建的SQL命令可導致在運行pointbase數(shù)據(jù)庫的主機上執(zhí)行任意代碼。問題是由于jdk 1.4.2_02中的sun.和org.apache.庫中漏洞及不充分的安全設置導致。利用這些漏洞也可能使攻擊者對數(shù)據(jù)庫進行拒絕服務攻擊。目前沒有詳細的漏洞細節(jié)提供。
測試方法：	無
解決方法：	臨時解決方法：如果您不能立刻安裝補丁或者升級，NSFOCUS建議您采取以下措施以降低威脅： * 建立一個安全策略文件，在利用此問題時產(chǎn)生安全異常來限制遠程用戶執(zhí)行執(zhí)行任意命令。廠商補丁： Sun --- 目前廠商還沒有提供補丁或者升級程序，我們建議使用此軟件的用戶隨時關注廠商的主頁以獲取最新版本： http://sunsolve.sun.com/security