int(145)

Boletines de Vulnerabilidades

Múltiples vulnerabilidades en Oracle 9i Application Server

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Aumento de la visibilidad
Dificultad Avanzado
Requerimientos del atacante Acceso remoto con cuenta

Información sobre el sistema
Propiedad Valor
Fabricant afectat Comercial Software
Software afectado Oracle Oracle 9i Application Server 1.0.2 .2
Oracle Oracle 9i Application Server Release 2 9.0.2 .0.1
Oracle Oracle 9i Application Server Release 2 9.0.2 .0.0

Descripción
Recientemente se han descubierto diversas vulnerabilidades en Oracle 9i Application Server:

1.- Divulgación de información no autorizada. Bajo determinadas circunstancias, un atacante remoto puede crear una condición que provoque una fuga de código fuente de Java Server Page (JSP). Con ello obtendría acceso a información que podría ser utilizada para algún otro tipo de ataque.

2.- Instalación por defecto insegura en sistemas Microsoft Windows NT y 2000. La instalación por defecto de Oracle 9iAS permite que los usuarios con acceso local al sistema puedan acceder a algunos de los contenidos de la instalación de 9iAS. Un usuario con acceso local puede también modificar o borrar los ficheros afectados por esta vulnerabilidad.

3.- Problema con el directorio WEB-INF. Bajo determinadas circunstancias, un usuario remoto puede obtener acceso a los contenidos del direct WEB-INF. Con ello podría obtener acceso al código fuente de las aplicaciones web y, potencialmente a otra información sensible.

Solución


Actualización de software

Oracle
Oracle 9i Application Server Release 2 9.0.2 .0.1
http://otn.oracle.com

Identificadores estándar
Propiedad Valor
CVE
BID

Recursos adicionales
BUGTRAQ BID: 6459
http://online.securityfocus.com/bid/6459

BUGTRAQ BID: 6460
http://online.securityfocus.com/bid/6460

BUGTRAQ BID: 6461
http://online.securityfocus.com/bid/6461

Histórico de versiones
Versión Comentario Data
1.0 Aviso emitido 2003-12-24
Ministerio de Defensa
CNI
CCN
CCN-CERT