dalam sebuah posting di milis bugtraq mengenai flaw dalam PL/SQL gateway yang merupakan salah satu komponen dari Oracle iAS, OAS dan Oracle HTTP Server, disajikan sebuah solusi atau workaround untuk masalah ini.
flaw yang disebut di atas memungkinkan attacker melakukan bypass atas PL/SQL Exclusion list. setelah melakukan bypass, maka attacker dapat mengakses package dan produre yang secara normal seharusnya “excluded“. dengan cara ini, attacker bisa mendapatkan full DBA akses ke server database melalui web server.
flaw ini sudah dilaporkan ke Oracle pada tanggal 26 oktober 2005, dengan harapan Oracle akan mengeluarkan patch dalam January 2006 Critical Patch Update, namun ternyata hal itu tidak terjadi.
solusi sementara untuk masalah ini adalah dengan menggunakan mod_rewrite yang sudah ada dalam distribusi apache yang dipergunakan oleh Oracle. intinya adalah melakukan pemeriksaan apakah web user request sudah dilengkapi dengan karakter tutup kurung, ‘)’.
tambahkan 4 baris di bawah ini dalam httpd.conf, lalu restart apache:
[sourcecode language=’python’]RewriteEngine on
RewriteCond %{QUERY_STRING} ^.*\).*|.*%29.*$
RewriteRule ^.*$ http://127.0.0.1/denied.htm?attempted-attack
RewriteRule ^.*\).*|.*%29.*$ http://127.0.0.1/denied.htm?attempted-attack[/sourcecode]