int(409)

Boletines de Vulnerabilidades


Dos vulnerabilidades en Oracle E-Business Suite

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricant afectat Comercial Software
Software afectado Oracle E-Business Suite 11i

Descripción

Se han descubierto dos vulnerabilidades en Oracle E-Business Suite versión 11i:

1.-Vulnerabilidad en "AOL/J Setup Test" JSP Pages
Puede permitir a un atacante remoto obtener información sensible como la configuración del producto o la contraseña de la cuenta "invitado", sin la necesidad de autenticarse.

2.-Desbordamiento de búfer en el programa FNDWRR
Se ha descubierto una vulnerabilidad en el programa FNDWRR (Oracle Applications Web Report Review), utilizado para visualizar informes y registros desde un navegador web. Un atacante remoto puede terminar el programa y posiblemente ejecutar código arbitrario, enviando una petición HTTP maliciosa.

Solución



Actualización de software
Para la primera vulnerabilidad, instale el parche 2939083
Para la segunda vulnerabilidad, instale el parche 2919943
Descarga de parches de Oracle
http://metalink.oracle.com

Identificadores estándar

Propiedad Valor
CVE CAN-2003-0632
CAN-2003-0633
BID

Recursos adicionales

Oracle security alert #55 23-7-2003
http://otn.oracle.com/deploy/security/pdf/2003alert55.pdf

Oracle security alert #56 23-7-2003
http://otn.oracle.com/deploy/security/pdf/2003alert56.pdf

Histórico de versiones

Versión Comentario Data
1.0 Aviso emitido 2003-07-29
Ministerio de Defensa
CNI
CCN
CCN-CERT