Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en Oracle 9i Application Server |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Aumento de la visibilidad |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado |
Oracle Oracle 9i Application Server 1.0.2 .2 Oracle Oracle 9i Application Server Release 2 9.0.2 .0.1 Oracle Oracle 9i Application Server Release 2 9.0.2 .0.0 |
Descripción |
|
Recientemente se han descubierto diversas vulnerabilidades en Oracle 9i Application Server: 1.- Divulgación de información no autorizada. Bajo determinadas circunstancias, un atacante remoto puede crear una condición que provoque una fuga de código fuente de Java Server Page (JSP). Con ello obtendría acceso a información que podría ser utilizada para algún otro tipo de ataque. 2.- Instalación por defecto insegura en sistemas Microsoft Windows NT y 2000. La instalación por defecto de Oracle 9iAS permite que los usuarios con acceso local al sistema puedan acceder a algunos de los contenidos de la instalación de 9iAS. Un usuario con acceso local puede también modificar o borrar los ficheros afectados por esta vulnerabilidad. 3.- Problema con el directorio WEB-INF. Bajo determinadas circunstancias, un usuario remoto puede obtener acceso a los contenidos del direct WEB-INF. Con ello podría obtener acceso al código fuente de las aplicaciones web y, potencialmente a otra información sensible. |
|
Solución |
|
Actualización de software Oracle Oracle 9i Application Server Release 2 9.0.2 .0.1 http://otn.oracle.com |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | |
BID | |
Recursos adicionales |
|
BUGTRAQ BID: 6459 http://online.securityfocus.com/bid/6459 BUGTRAQ BID: 6460 http://online.securityfocus.com/bid/6460 BUGTRAQ BID: 6461 http://online.securityfocus.com/bid/6461 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2003-12-24 |