検出

Oracle 9iAS _pages ディレクトリコンパイル JSP ソースの漏洩

medium Nessus プラグイン ID 10852

Language:

概要

慎重に扱う必要があるデータがリモートホストで読み取られることがあります。

説明

Oracle 9iAS のデフォルトのインストールで、JSP ファイルのソースを読み取れます。JSP がリクエストされると、「実行中」にコンパイルされ、得られた HTML ページがユーザーに返されます。Oracle 9iAS は、コンパイル中に中間ファイルを保持するフォルダを使用します。これらのファイルは、.JSP ページがあるのと同じフォルダに作成されます。このため、所定の JSP ページの .java ファイルおよびコンパイルされた .class ファイルにアクセスできます。

ソリューション

_pages フォルダへのアクセスを許可しないために、httpd.conf を編集します。

参考資料

http://www.nessus.org/u?80fe4531

https://www.oracle.com/index.html

プラグインの詳細

深刻度: Medium

ID: 10852

ファイル名: oracle9i_jsp_source.nasl

バージョン: 1.30

タイプ: remote

ファミリー: Databases

公開日: 2002/2/7

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.2

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

脆弱性情報

CPE: cpe:/a:oracle:application_server, cpe:/a:oracle:application_server_web_cache

必要な KB アイテム: www/OracleApache

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2002/2/6

脆弱性公開日: 2002/2/7

参照情報

CVE: CVE-2002-0565

BID: 4034