Boletines de Vulnerabilidades |
Vulnerabilidad en el Servidor de Aplicaciones y en el Servidor de Bases de Datos Oracle9i |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Denegación de Servicio |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricant afectat | Comercial Software |
Software afectado |
Oracle9i Application Server Release 2, version 9.0.3.0, version 9.0.3.1 Oracle9i Application Server Release 2, version <= 9.0.2.3 Oracle9i Application Server Release 1, version 1.0.2.2, version 1.0.2.2.2 Oracle9i Database Server Release 2, version >=9.2.0.1 |
Descripción |
|
Una vulnerabilidad ha sido descubierta en el Servidor de Aplicaciones y en el Servidor de Bases de Datos Oracle9i. La explotación de está vulnerabilidad podría permitir a un atacante remoto provocar una situación de denegación de servicio mediante el envío de un mensaje SOAP cuyo XML contenga unas DTD (Definiciones de tipos de datos) especialmente diseñadas. Hay que destacar que tanto XML como SOAP se instalan por defecto en un Servidor de Aplicaciones y en un Servidor de Bases de Datos Oracle9i cuándo el servidor HTTP de Oracle se instala. En el Servidor de Aplicaciones Oracle9i Release 2, versión 9.0.2.1 y anteriores la autentificación SOAP está desactivada por defecto con lo cuál el atacante no necesita autentificarse para poder lanzar el ataque. En cambio, en el Servidor de Aplicaciones Oracle9i Release 2, versión 9.0.3.0 y en el Servidor de Bases de Datos Oracle9i la autentificación SOAP está activada por defecto. |
|
Solución |
|
Actualización de software Oracle MetaLink Document ID 259556.1 http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=259556.1 |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | |
BID | |
Recursos adicionales |
|
Oracle Security Alert 65 http://otn.oracle.com/deploy/security/pdf/2004alert65.pdf |
Histórico de versiones |
||
Versión | Comentario | Data |
1.0 | Aviso emitido | 2004-02-20 |
2.0 | Aviso actualizado por Oracle | 2004-04-20 |