CVE-2002-0856
CVSS5.0
发布时间 :2002-09-05 00:00:00
修订时间 :2008-09-10 15:13:02
NMCO    

[原文]SQL*NET listener for Oracle Net Oracle9i 9.0.x and 9.2 allows remote attackers to cause a denial of service (crash) via certain debug requests that are not properly handled by the debugging feature.


[CNNVD]Oracle 9i SQL*NET Listener远程拒绝服务漏洞(CNNVD-200209-020)

        
        Oracle 9i是Oracle公司开发的一套流行的商业数据库系统。其中SQL*NET允许客户端-服务器以及服务器-服务器之间通过网络进行通讯。SQL*NET提供了对SQL请求的分布式处理,就像从SQL客户端直接访问SQL数据库一样。
        Oracle 9i的调试机制中存在一个安全漏洞,攻击者可以构造一个特殊的调试请求数据发送给Oracle 9i SQL*NET listener使其崩溃。所有的Oracle9i缺省安装都受到此漏洞影响。
        Oracle 9i有一个调试功能,允许数据库管理员收集服务器运行的一些额外信息。这个调试功能缺省是打开的而且无法关闭。Oracle9i SQL*NET listener没有正确处理某些特定类型的调试请求,如果攻击者通过网络发送这种请求,Oracle9i会崩溃,不能再继续响应正常的SQL请求。只有手工重启listener才能回复正常工作。
        

- CVSS (基础分值)

CVSS分值: 5 [中等(MEDIUM)]
机密性影响: NONE [对系统的机密性无影响]
完整性影响: NONE [不会对系统完整性产生影响]
可用性影响: PARTIAL [可能会导致性能下降或中断资源访问]
攻击复杂度: LOW [漏洞利用没有访问限制 ]
攻击向量: [--]
身份认证: NONE [漏洞利用无需身份认证]

- CPE (受影响的平台与产品)

cpe:/a:oracle:oracle9i:9.0.1.3
cpe:/a:oracle:oracle9i:9.0
cpe:/a:oracle:database_server:9.2.1Oracle Database Server 9.2.1
cpe:/a:oracle:oracle9i:9.0.1
cpe:/a:oracle:oracle9i:9.0.1.2
cpe:/a:oracle:oracle9i:9.0.2

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-0856
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2002-0856
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200209-020
(官方数据源) CNNVD

- 其它链接及资源

http://www.iss.net/security_center/static/9237.php
(VENDOR_ADVISORY)  XF  oracle-listener-debug-dos(9237)
http://otn.oracle.com/deploy/security/pdf/2002alert38rev1.pdf
(VENDOR_ADVISORY)  CONFIRM  http://otn.oracle.com/deploy/security/pdf/2002alert38rev1.pdf
http://www.securityfocus.com/bid/5457
(UNKNOWN)  BID  5457
http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20941
(UNKNOWN)  ISS  20020813 Remote Denial of Service Vulnerability in Oracle9i SQL*NET
http://archives.neohapsis.com/archives/vulnwatch/2002-q3/0072.html
(UNKNOWN)  VULNWATCH  20020813 ISS Security Brief: Remote Denial of Service Vulnerability in Oracle9i SQL*NET

- 漏洞信息

Oracle 9i SQL*NET Listener远程拒绝服务漏洞
中危 边界条件错误
2002-09-05 00:00:00 2005-08-17 00:00:00
远程  
        
        Oracle 9i是Oracle公司开发的一套流行的商业数据库系统。其中SQL*NET允许客户端-服务器以及服务器-服务器之间通过网络进行通讯。SQL*NET提供了对SQL请求的分布式处理,就像从SQL客户端直接访问SQL数据库一样。
        Oracle 9i的调试机制中存在一个安全漏洞,攻击者可以构造一个特殊的调试请求数据发送给Oracle 9i SQL*NET listener使其崩溃。所有的Oracle9i缺省安装都受到此漏洞影响。
        Oracle 9i有一个调试功能,允许数据库管理员收集服务器运行的一些额外信息。这个调试功能缺省是打开的而且无法关闭。Oracle9i SQL*NET listener没有正确处理某些特定类型的调试请求,如果攻击者通过网络发送这种请求,Oracle9i会崩溃,不能再继续响应正常的SQL请求。只有手工重启listener才能回复正常工作。
        

- 公告与补丁

        临时解决方法:
        如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
        * 您可以打开Oracle9i的"Valid Node Checking."功能,这可以允许管理员限制只有授权用户才能访问SQL*NET listener。
        * 在边界防火墙上过滤或者限制对TCP/1521端口的访问。这是listener缺省监听的端口,它是可配置的。
        厂商补丁:
        Oracle
        ------
        目前厂商已经发布了升级补丁以修复这个安全问题,对应的bug编号是2467947,请到厂商的主页下载相关补丁:
        
        http://metalink.oracle.com

        更多的关于此漏洞的信息可以参考Oracle Security Alert #38:
        
        http://metalink.oracle.com

        注:需要注册用户才可访问上述站点。

- 漏洞信息

5065
Oracle Database Net Services SQL*NET Listener Malformed Command Debugging Remote DoS
Remote / Network Access Denial of Service
Loss of Availability
Vendor Verified

- 漏洞描述

- 时间线

2002-08-08 Unknow
Unknow Unknow

- 解决方案

Products

Unknown or Incomplete

- 相关参考

- 漏洞作者

Unknown or Incomplete
 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站