J2EERI Pointbase數(shù)據(jù)庫(kù)遠(yuǎn)程命令執(zhí)行漏洞_JSP教程

教程Tag：暫無(wú)Tag,歡迎添加,賺取U幣!

推薦：學(xué)習(xí)JSP的經(jīng)典的入門(mén)學(xué)習(xí)資料
　一、 JSP 技術(shù)概述　　在 Sun 正式發(fā)布 JSP(JavaServer Pages) 之后，這種新的 Web 應(yīng)用開(kāi)發(fā)技術(shù)很快引起了人們的關(guān)注。 JSP 為創(chuàng)建高度動(dòng)態(tài)的 Web 應(yīng)用提供了一個(gè)獨(dú)特的開(kāi)發(fā)環(huán)境。

信息提供：	安全公告（或線(xiàn)索）提供熱線(xiàn)：[email protected]
漏洞類(lèi)別：	設(shè)計(jì)錯(cuò)誤
攻擊類(lèi)型：	嵌入惡意代碼
發(fā)布日期：	2003-12-16
更新日期：	2003-12-23
受影響系統(tǒng)：	Sun JDK 1.4.2_02
安全系統(tǒng)：	無(wú)
漏洞報(bào)告人：	Marc Schoenefeld （[email protected]）
漏洞描述：	BUGTRAQ ID: 9230 J2EE/RI Pointbase是一個(gè)純JAVA數(shù)據(jù)庫(kù)，可以方便的開(kāi)發(fā)JAVA產(chǎn)品。 J2EE/RI (Reference Implementation) Pointbase數(shù)據(jù)庫(kù)存在安全問(wèn)題，遠(yuǎn)程攻擊者可以利用這個(gè)漏洞通過(guò)jdbc插入任意代碼或?qū)?shù)據(jù)庫(kù)進(jìn)行拒絕服務(wù)攻擊。通過(guò)使用特殊構(gòu)建的SQL命令可導(dǎo)致在運(yùn)行pointbase數(shù)據(jù)庫(kù)的主機(jī)上執(zhí)行任意代碼。問(wèn)題是由于jdk 1.4.2_02中的sun.和org.apache.庫(kù)中漏洞及不充分的安全設(shè)置導(dǎo)致。利用這些漏洞也可能使攻擊者對(duì)數(shù)據(jù)庫(kù)進(jìn)行拒絕服務(wù)攻擊。目前沒(méi)有詳細(xì)的漏洞細(xì)節(jié)提供。
測(cè)試方法：	無(wú)
解決方法：	臨時(shí)解決方法：如果您不能立刻安裝補(bǔ)丁或者升級(jí)，NSFOCUS建議您采取以下措施以降低威脅： * 建立一個(gè)安全策略文件，在利用此問(wèn)題時(shí)產(chǎn)生安全異常來(lái)限制遠(yuǎn)程用戶(hù)執(zhí)行執(zhí)行任意命令。廠商補(bǔ)丁： Sun --- 目前廠商還沒(méi)有提供補(bǔ)丁或者升級(jí)程序，我們建議使用此軟件的用戶(hù)隨時(shí)關(guān)注廠商的主頁(yè)以獲取最新版本： http://sunsolve.sun.com/security

分享：在JSP開(kāi)發(fā)中的對(duì)象和范圍屬性
在JSP頁(yè)面中的對(duì)象，包括用戶(hù)創(chuàng)建的對(duì)象（例如，JavaBean對(duì)象）和JSP的隱含對(duì)象，都有一個(gè)范圍屬性。范圍定義了在什么時(shí)間內(nèi)，在哪一個(gè)JSP頁(yè)面中可以訪問(wèn)這些對(duì)象。例如，session對(duì)象在