Vulnerability Bulletins |
Múltiples vulnerabilidades en Oracle 9i Application Server |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Aumento de la visibilidad |
Dificulty | Avanzado |
Required attacker level | Acceso remoto con cuenta |
System information |
|
Property | Value |
Affected manufacturer | Comercial Software |
Affected software |
Oracle Oracle 9i Application Server 1.0.2 .2 Oracle Oracle 9i Application Server Release 2 9.0.2 .0.1 Oracle Oracle 9i Application Server Release 2 9.0.2 .0.0 |
Description |
|
Recientemente se han descubierto diversas vulnerabilidades en Oracle 9i Application Server: 1.- Divulgación de información no autorizada. Bajo determinadas circunstancias, un atacante remoto puede crear una condición que provoque una fuga de código fuente de Java Server Page (JSP). Con ello obtendría acceso a información que podría ser utilizada para algún otro tipo de ataque. 2.- Instalación por defecto insegura en sistemas Microsoft Windows NT y 2000. La instalación por defecto de Oracle 9iAS permite que los usuarios con acceso local al sistema puedan acceder a algunos de los contenidos de la instalación de 9iAS. Un usuario con acceso local puede también modificar o borrar los ficheros afectados por esta vulnerabilidad. 3.- Problema con el directorio WEB-INF. Bajo determinadas circunstancias, un usuario remoto puede obtener acceso a los contenidos del direct WEB-INF. Con ello podría obtener acceso al código fuente de las aplicaciones web y, potencialmente a otra información sensible. |
|
Solution |
|
Actualización de software Oracle Oracle 9i Application Server Release 2 9.0.2 .0.1 http://otn.oracle.com |
|
Standar resources |
|
Property | Value |
CVE | |
BID | |
Other resources |
|
BUGTRAQ BID: 6459 http://online.securityfocus.com/bid/6459 BUGTRAQ BID: 6460 http://online.securityfocus.com/bid/6460 BUGTRAQ BID: 6461 http://online.securityfocus.com/bid/6461 |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2003-12-24 |