oracle请求输出全部都是fndwrr,[Alert]Oracle发出三个漏洞警报 两个被确定为最高级...

最新推荐文章于 2021-04-12 16:42:30 发布
最新推荐文章于 2021-04-12 16:42:30 发布
阅读量165 收藏
点赞数
文章标签: oracle请求输出全部都是fndwrr

Oracle数据库连接远程缓冲区溢出漏洞

发布日期:2003-04-29

更新日期:2003-05-08

受影响系统:

Oracle Oracle7 7.3.3

Oracle Oracle8 8.1.7

Oracle Oracle8 8.1.6

Oracle Oracle8 8.0x

Oracle Oracle8i 8.1x

Oracle Oracle8i 8.0x

Oracle Oracle9i Release 2 9.2.2

Oracle Oracle9i Release 2 9.2.1

Oracle Oracle9i 9.2.0.2

Oracle Oracle9i 9.2.0.1

Oracle Oracle9i 9.2

Oracle Oracle9i 9.0.2

Oracle Oracle9i 9.0.1.4

Oracle Oracle9i 9.0.1.3

Oracle Oracle9i 9.0.1.2

Oracle Oracle9i 9.0.1

Oracle Oracle9i 9.0

Oracle Oracle7 7.3.4

- RedHat Linux 6.1

- RedHat Linux 6.0

- RedHat Linux 5.2

- RedHat Linux 5.1

- RedHat Linux 5.0

- Sun Solaris 2.6 x86

- Sun Solaris 2.6 SPARC

- Sun Solaris 2.5.1 x86

- Sun Solaris 2.5.1

- Sun Solaris 2.5 x86

- Sun Solaris 2.5

- Sun Solaris 2.4 x86

- Sun Solaris 2.4

Oracle Oracle8 8.1.5

- HP HP-UX 11.11

- HP HP-UX 11.0

- RedHat Linux 6.2

- RedHat Linux 6.1

- Sun Solaris 8.0

- Sun Solaris 7.0

描述:

--------------------------------------------------------------------------------

BUGTRAQ  ID: 7453

Oracle是一款企业级数据库服务程序,占有54%市场份额。

Oracle的数据库连接功能对参数缺少正确的边界缓冲区检查,远程攻击者可以利用这个漏洞进行典型缓冲区溢出攻击,可能以Oralce进程权限在系统上执行任意指令。

Oracle提供数据库连接功能,允许从其他数据库服务器查询当前数据库。提供超长的参数给'CREATE DATABASE LINK'查询的连接字符串(默认情况下,'CREATE DATABASE LINK'权限只分配给连接用途,多数情况下大多数帐户拥有此权限,权限可比SCOTT和ADAMS还低。):

CREATE DATABASE LINK ngss

CONNECT TO hr

IDENTIFIED BY hr

USING 'longstring'

通过建立特殊的数据库连接然后执行如下命令:

select * from table@ngss

就可以触发缓冲区溢出,覆盖堆栈返回地址。精心构建提交数据可以导致以Oralce进程权限在系统上执行任意指令。

不过厂商认为,除非Oracle数据库直接连接到Internet,否则远程攻击不太可能。

链接:http://marc.theaimsgroup.com/?l= ... 62831008176&w=2

http://otn.oracle.com/deploy/security/pdf/2003alert54.pdf

*>

测试方法:

--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

David Litchfield (david@nextgenss.com)提供了如下测试方法:

CREATE DATABASE LINK ngss

CONNECT TO hr

IDENTIFIED BY hr

USING 'longstring'

select * from table@ngss

建议:

--------------------------------------------------------------------------------

厂商补丁:

Oracle

------

Oracle已经为此发布了一个安全公告(OracleSA#54)以及相应补丁:

OracleSA#54:Buffer Overflow in Oracle Net Services for Oracle Database Server

链接:http://otn.oracle.com/deploy/security/pdf/2003alert54.pdf

补丁下载:

补丁号如下:

操作平台                          9.2.0.2 9.0.1.4 8.1.7.4 8.0.6.3

Sun Solaris (32-bit)              2749511 2760944 2784635 2760879

Sun Solaris (64-bit)              2749511 2760944 2784635 N/A

IBM AIX 4.3.3 and 5L (32-bit)     N/A     N/A     2784635 2760879

IBM AIX 4.3.3 (64-bit)            2749511 2760944 2784635 2760879

IBM AIX Based 5L(64-bit)          2749511 N/A     N/A     N/A

MS Windows NT/2000/XP             2761332 ECD:    2376472 2845564

May 2003

HP-UX (32-bit)                    N/A     N/A     2784635 2760879

HP-UX (64-bit)                    2749511 2760944 2784635 2760879

HP Tru64                          2749511 2760944 2784635 2760879

LINUX                             2749511 2760944 2784635 N/A

LINUX 390                         2749511 N/A     N/A     N/A

LINUX IA64                        N/A     N/A     N/A     N/A

INTEL SOLARIS                     N/A     N/A     N/A     N/A

DATA GENERAL                      N/A     N/A     N/A     N/A

UNIXWARE                          N/A     N/A     2784635 N/A

IBM NUMA-Q                        N/A     N/A     2784635 ECD:

MAY 2003

SGI-IRIX-64                       N/A     N/A     N/A     N/A

Siemens-64                        N/A     N/A     N/A     N/A

Novell                            N/A     N/A     N/A     N/A

OpenVMS                           N/A     2760944 2784635 N/A

IBM OS/390 (MVS)                  2749511 2760944 N/A     N/A

NEC                               N/A     N/A     N/A     N/A

HP IA64                           N/A     N/A     N/A     N/A

Fujitsu UXP/DS                    N/A     N/A     N/A     2760879

Hitachi RISC Unix                 N/A     N/A     N/A     2760879

客户可以登录站点,提交相关补丁号下载补丁进行修补:

http://metalink.oracle.com

weixin_39787792
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Oracle EBS 输出文件名称被截断问题解决
savior8718的博客
08-25 524
EBS 报表输出文件名称显示不全、被截断问题解决方案
FNDWRR.exe后面的temp_id是如何生成的--解析Oracle EBS request log/output的url
Alex Zhang's Blog
12-25 6684
我们在EBS的view concurrent request 界面里, 通常会点击log或output, 然后在菜单里选copy file,从IE里来获取相应的log或output文件. 相应的url是http://host:port/OA_CGI/FNDWRR.exe?temp_id=2391709&login=APPLSYSPUT/PUB@VIS 这个url是如何生成的呢? 通过查看FNDRS
oracle ebs 报表输出
03-27
NULL 博文链接:https://anole1982.iteye.com/blog/1174035
EBS报表 查看输出 FNDWRR.exe
weixin_34410662的博客
11-03 1652
环境: EBS:R12 浏览器:360浏览器 运行一个报表后,点击‘查看输出’,download下来是FNDWRR.exe文件。 解决办法: 360浏览器的工具菜单->下载器->设置 默认下载工具改成“用IE下载”。...
oracle请求输出全部都是fndwrr,How "Copy File" works in 'View Output" screen in Oracle Apps
weixin_34193479的博客
04-03 289
Usualy, when we submit a concurrent report and it finishes running, we click 'Output' button to view the output and click 'Tools'->'Copy file' to copy it to browser window and thus save to local di...
FNDWRR.exe - FND Web Report Review
jishublog
09-11 650
FNDWRR.exe - FND Web Report Review,Oracle EBS中,查看报表的输出或者报表的日志,看到的链接的样式往往是下边的格式http://host:port/OA_CGI/FNDWRR.exe?temp_id=2640068719 注意到链接中调用的一个程序-FNDWRR.exe,查了些资料:FNDWRR全称FND Web Report Review,执行程序位于$...
oracle请求输出全部都是fndwrr,oracle ebs系统维护技巧汇总
weixin_35778830的博客
04-03 567
ger USER VISION WELCOME上述语句把VISION用户的密码改为WELCOME------------------------------------------------------------oracle EBS 报表不能输出常见解决方案 现象:报表运行完成后,点击“查看输出”,打开page页面速度很慢,最终显示无法打开网页。分析:报表能够正确完成,但是不能输出。问题应该出...
查看Oracle EBS报表输出,IE闪了一下就消失,报表没有打开
chengyue2007的专栏
04-23 754
解决方法1:按住Ctrl键,再点报表“查看输出”解决方法2:退出所有IE窗口,重新打开一个空的IE,IE 选项 -> 安全 -> 自定义级别 下载--文件下载 (启用) 下载--文件下载的自动提示(启用)   EBS:R12 浏览器:360浏览器 运行一个报表后,点击‘查看输出’,download下来是FNDWRR.exe文件。 解决办法: 360浏览器的工具菜单-...
轻松解决ERP数据无法导出问题
cizhuoguan6558的博客
05-26 4390
大家在使用ERP系统过程中,出现的FORM(表单)界面查询结果导出时,出现一闪就消失;或者提交报表的并发请求后,查看输出,也是一闪就消失。 苦恼、找人、大吼……还不如自己学会,轻松搞定! ...
如何把ORACLE的查询结果输出成TXT文件
03-23
如何把ORACLE的查询结果输出成TXT文件.docx
Oracle EBS诊断方面几种情况的解决方法(诊断菜单隐藏、个性化功能报错、关于此页的显示)
田攀的日志
05-29 1万+
Oracle EBS诊断方面几种情况的解决方法(诊断菜单隐藏、个性化功能报错、关于此页的显示)
如何解决Oracle/Discover的中文乱码问题?
军哥博客欢迎您
06-19 1609
1. EBS导出/输出乱码问题   修改个人配置文件(personal profile)     FND: NATIVE CLIENT ENCODING  ----> ZHS16GBK   2. Discover显示乱码问题     修改注册表中的NLS_LANG     把NLS_LANG的值修改成AMERICAN_AMERICA.ZHS16GBK即可.文章出处:http://www.diybl
XML输出中文时,无法用xsl查看(XML文件不能正常显示、中文显示乱码)
专注Oracle EBS---低调的奢华
08-11 6203
无法显示 XML 页。 使用 XSL 样式表无法查看 XML 输入。请更正错误然后单击 刷新按钮,或以后重试。 --------------------------------------------------------------------------------结束标记 'BATCH_DETAILS' 与开始标记 'PartyName'不匹配。处理资源 'http://erptest.easttop.com.cn:8000/OA_CGI/FNDWRR.exe?temp_id=3364...---^
查找运行请求时间,参数等(可以是某用户的,某个报表)
weixin_34195142的博客
12-31 155
select c.user_name,       papf.full_name,       b.user_concurrent_program_name,       a.request_date,       a.argument_text,       (a.actual_completion_date - a.actual_start_date) * 24 * 60 minutes,  ...
EBS XMLP 报表乱码解决方案
专注Oracle EBS---低调的奢华
02-23 1万+
问题描述:在使用XMLP做报表的过程中,经常会遇到乱码的情况。导致乱码的原因有两种:字符集的问题和字体定义的问题。字符集引起的乱码   :一般乱码成不规则性的。字体定义引起的乱码:一般乱码是规则的,一般为(反?)一. 字符集的问题   解决方法:   1. 在PL/SQL中输出XML时,头信息的编码为:       output(''); 2.  修改EBS系统首选项:   客户机字符编码修改为:Unicode(UTF-8),修改首选项会影响到配置文件     FND: NATIVE CLIENT ENC
Excel2013打开提示 文件格式和扩展名不匹配。文件可能已损坏或不安全。除非您信任其来源,否则请勿打开。是否仍要打开它?
热门推荐
Y.q
01-12 6万+
有的时候打开xls文档时,会提示“文件格式和扩展名不匹配。文件可能已损坏或不安全。除非您信任其来源,否则请勿打开。是否仍要打开它?” 遇到这种情况,我们需要 1.win键+R键,打开“运行“,输入regedit打开“注册表编辑器” 2.找到HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Excel\Security,选中“Securi
oracle缓冲区溢出,Oracle数据库连接远程缓冲区溢出漏洞
weixin_28920737的博客
04-12 495
厂商补丁:Oracle------Oracle已经为此发布了一个安全公告(OracleSA#54)以及相应补丁:OracleSA#54:Buffer Overflow in Oracle Net Services for Oracle Database Server补丁下载:补丁号如下:操作平台 9.2.0.2 9.0.1.4 8.1.7.4 8....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值