Vulnerability Bulletins |
Vulnerabilidad en el componente "Portal" incluido en Oracle 9i Application Server |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Aumento de la visibilidad |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
| Property | Value |
| Affected manufacturer | Comercial Software |
| Affected software |
Oracle9i Application Server Portal Release 1<= 3.0.9.8.5 Oracle9i Application Server Portal Release 2 <= 9.0.2.3.0 |
Description |
|
|
Descripción del problema: Se ha descubierto una vulnerabilidad en el componente "Portal" de Oracle 9i Applications Server que permite a un usuario malicioso adquirir acceso remoto a los contenidos de la base de datos Oracle. Detalles técnicos: El componente "Portal" incluido en Oracle 9i Application Server proporciona una interface web (HTTP) para acceder a la base de datos. Esta aplicación está activada en una instalación por defecto. La vulnerabilidad descubierta en el componente "Portal" es un "SQL injection" que permite a un atacante remoto, a través de peticiones URL que contienen sentencias SQL, acceder al contenido de la base de datos Oracle a la que "Portal" tiene acceso. |
|
Solution |
|
|
Actualización de seguridad Oracle 9i Application Server Oracle9i Application Server 1.0.2.2 (con la version 3.0.9.8.5 del "Portal"), Parche : 3068980 Oracle9i Application Server 9.0.2.1 (con la version 9.0.2.3 del "Portal"), Parche : 2853895 Oracle9i Application Server 9.0.2.2 (con la version 9.0.2.3A del "Portal"), Parche : 2853895 Oracle9i Application Server 9.0.2.3 (con la version 9.0.2.3B del "Portal"), Parche : 2853895 http://metalink.oracle.com |
|
Standar resources |
|
| Property | Value |
| CVE | |
| BID | |
Other resources |
|
|
Oracle security alert #61 del 3 de Noviembre del 2003 http://otn.oracle.com/deploy/security/pdf/2003alert61.pdf |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2003-11-06 |