J2EERI Pointbase數據庫遠程命令執行漏洞_JSP教程
      
編輯Tag賺U幣
      


      教程Tag:暫無Tag,歡迎添加,賺取U幣!
      


      

      推薦:學習JSP的經典的入門學習資料
       一、 JSP 技術概述 

  在 Sun 正式發布 JSP(JavaServer Pages) 之后,這種新的 Web 應用開發技術很快引起了人們的關注。 JSP 為創建高度動態的 Web 應用提供了一個獨特的開發環境。
      


      



 

      




      




      信息提供:
      		

安全公告(或線索)提供熱線:51cto.editor@gmail.com
      


      




      漏洞類別:
      		

設計錯誤
      


      




      攻擊類型:
      		

嵌入惡意代碼
      


      




      發布日期:
      		

2003-12-16
      


      




      更新日期:
      		

2003-12-23
      


      




      受影響系統:
      		

Sun JDK 1.4.2_02
      


      




      安全系統:
      		




      


      




      漏洞報告人:
      		

Marc Schoenefeld (marc.schoenefeld@uni-muenster.de)
      


      




      漏洞描述:
      		

BUGTRAQ  ID: 9230

      J2EE/RI Pointbase是一個純JAVA數據庫,可以方便的開發JAVA產品。

      J2EE/RI (Reference Implementation) Pointbase數據庫存在安全問題,遠程攻擊者可以利用這個漏洞通過jdbc插入任意代碼或對數據庫進行拒絕服務攻擊。

      通過使用特殊構建的SQL命令可導致在運行pointbase數據庫的主機上執行任意代碼。問題是由于jdk 1.4.2_02中的sun.*和org.apache.*庫中漏洞及不充分的安全設置導致。利用這些漏洞也可能使攻擊者對數據庫進行拒絕服務攻擊。

      目前沒有詳細的漏洞細節提供。

      


      




      測試方法:
      		


      


      


      




      解決方法:
      		

臨時解決方法:

      如果您不能立刻安裝補丁或者升級,NSFOCUS建議您采取以下措施以降低威脅:

      * 建立一個安全策略文件,在利用此問題時產生安全異常來限制遠程用戶執行執行任意命令。

      廠商補丁:

      Sun

      ---

      目前廠商還沒有提供補丁或者升級程序,我們建議使用此軟件的用戶隨時關注廠商的主頁以獲取最新版本:

      http://sunsolve.sun.com/security

            

    


      分享:在JSP開發中的對象和范圍屬性
      在JSP頁面中的對象,包括用戶創建的對象(例如,JavaBean對象)和JSP的隱含對象,都有一個范圍屬性。范圍定義了在什么時間內,在哪一個JSP頁面中可以訪問這些對象。例如,session對象在
      


      

      


      來源:模板無憂//所屬分類:JSP教程/更新時間:2008-08-22


      


      



      


      



      相關JSP教程