int(145)

Vulnerability Bulletins

Múltiples vulnerabilidades en Oracle 9i Application Server

Vulnerability classification
Property Value
Confidence level Oficial
Impact Aumento de la visibilidad
Dificulty Avanzado
Required attacker level Acceso remoto con cuenta

System information
Property Value
Affected manufacturer Comercial Software
Affected software Oracle Oracle 9i Application Server 1.0.2 .2
Oracle Oracle 9i Application Server Release 2 9.0.2 .0.1
Oracle Oracle 9i Application Server Release 2 9.0.2 .0.0

Description
Recientemente se han descubierto diversas vulnerabilidades en Oracle 9i Application Server:

1.- Divulgación de información no autorizada. Bajo determinadas circunstancias, un atacante remoto puede crear una condición que provoque una fuga de código fuente de Java Server Page (JSP). Con ello obtendría acceso a información que podría ser utilizada para algún otro tipo de ataque.

2.- Instalación por defecto insegura en sistemas Microsoft Windows NT y 2000. La instalación por defecto de Oracle 9iAS permite que los usuarios con acceso local al sistema puedan acceder a algunos de los contenidos de la instalación de 9iAS. Un usuario con acceso local puede también modificar o borrar los ficheros afectados por esta vulnerabilidad.

3.- Problema con el directorio WEB-INF. Bajo determinadas circunstancias, un usuario remoto puede obtener acceso a los contenidos del direct WEB-INF. Con ello podría obtener acceso al código fuente de las aplicaciones web y, potencialmente a otra información sensible.

Solution


Actualización de software

Oracle
Oracle 9i Application Server Release 2 9.0.2 .0.1
http://otn.oracle.com

Standar resources
Property Value
CVE
BID

Other resources
BUGTRAQ BID: 6459
http://online.securityfocus.com/bid/6459

BUGTRAQ BID: 6460
http://online.securityfocus.com/bid/6460

BUGTRAQ BID: 6461
http://online.securityfocus.com/bid/6461

Version history
Version Comments Date
1.0 Aviso emitido 2003-12-24
Ministerio de Defensa
CNI
CCN
CCN-CERT