漏洞信息详情
Oracle Application Server Portal绕过认证漏洞
- CNNVD编号:CNNVD-200805-097
- 危害等级: 中危
- CVE编号: CVE-2008-2138
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2008-05-12
- 威胁类型: 远程
- 更新时间: 2009-02-26
- 厂 商: oracle
- 漏洞来源: Deniz CEVIKDeniz.C...
漏洞简介
Oracle Application Server Portal(OracleAS Portal)是基于Web的应用程序,用于构建和部署portal。
OracleAS Portal在处理访问认证时存在漏洞,如果远程攻击者在提交的HTTP请求头中添加了特制的cookie值的话,就可以绕过对/dav_portal/portal/目录的基本认证保护,访问dav_portal内容。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.oracle.com
参考网址
来源: XF
名称: oracle-aps-cookie-auth-bypass(42302)
链接:http://xforce.iss.net/xforce/xfdb/42302
来源: BID
名称: 29119
链接:http://www.securityfocus.com/bid/29119
来源: BUGTRAQ
名称: 20080509 Oracle Application Server 10G ORA_DAV Basic Authentication Bypass Vulnerability
链接:http://www.securityfocus.com/archive/1/archive/1/491865/100/0/threaded
来源: SREASON
名称: 3867
链接:http://securityreason.com/securityalert/3867
来源: SECUNIA
名称: 30140
链接:http://secunia.com/advisories/30140
来源: SECTRACK
名称: 1020034
链接:http://www.securitytracker.com/id?1020034
受影响实体
- Oracle Application_server_portal:10g
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论