oracle application server 最近被发现存在多个安全漏洞，包括资料溢写、不安全的预设定、无法执行存取控制以及无法验证输入。这些漏洞造成的影响包括可被执行任意指令或程序代码、拒绝服务，及未经授权的资料存取。

　　oracle application server 最近被发现存在多个安全漏洞，包括资料溢写、不安全的预设定、无法执行存取控制以及无法验证输入。这些漏洞造成的影响包括可被执行任意指令或程序代码、拒绝服务，及未经授权的资料存取。

　　oracle application server 内含以 apache http server 为基础的 web server。oracle

　　在 web server 内加入数个不同的组件来提供接口给数据库应用程序。这些组件包含有

　　procedural language/sturctured query language(pl/sql)模块, java server pages,

　　xsql servlets, 及 simple object access protocol(soap) applications 等等。

　　本文中所述安全弱点于 ngssoftware 的 david litchfield 所着的数份报告中曾被提出：

　　* hackproofing oracle application server

　　http://www.nextgenss.com/papers/hpoas.pdf

　　* ngssoftware insight security research advisory #nisr20122001

　　http://www.nextgenss.com/advisories/plsql.txt

　　* ngssoftware insight security research advisory #nisr06022002a

　　http://www.nextgenss.com/advisories/oraplsextproc.txt

　　* ngssoftware insight security research advisory #nisr06022002b

　　http://www.nextgenss.com/advisories/oraplsbos.txt

　　* ngssoftware insight security research advisory #nisr06022002c

　　http://www.nextgenss.com/advisories/orajsa.txt

　　http://www.nextgenss.com/advisories/orajsp.txt

　　与 oracle 相关的完整弱点列表请在 cert/cc vulnerability notes database 内搜寻\"oracle\"。漏洞详细资料请见各个 vulnerability note。

　　oracle 已针对这些弱点发布补强程序与设定修改建议

　　影响平台

　　- - 执行 oracle8i 数据库的系统

　　- - 执行 oracle9i 数据库的系统

　　- - 执行 oracle9i application server 的系统

　　解决方案：

　　安装补丁

　　oracle security alerts

　　http://otn.oracle.com/deploy/security/alerts.htm

　　metalink (registration required)

　　http://metalink.oracle.com/