Vulnerability Bulletins |
Vulnerabilidad en el Servidor de Aplicaciones y en el Servidor de Bases de Datos Oracle9i |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Denegación de Servicio |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto con cuenta |
System information |
|
| Property | Value |
| Affected manufacturer | Comercial Software |
| Affected software |
Oracle9i Application Server Release 2, version 9.0.3.0, version 9.0.3.1 Oracle9i Application Server Release 2, version <= 9.0.2.3 Oracle9i Application Server Release 1, version 1.0.2.2, version 1.0.2.2.2 Oracle9i Database Server Release 2, version >=9.2.0.1 |
Description |
|
|
Una vulnerabilidad ha sido descubierta en el Servidor de Aplicaciones y en el Servidor de Bases de Datos Oracle9i. La explotación de está vulnerabilidad podría permitir a un atacante remoto provocar una situación de denegación de servicio mediante el envío de un mensaje SOAP cuyo XML contenga unas DTD (Definiciones de tipos de datos) especialmente diseñadas. Hay que destacar que tanto XML como SOAP se instalan por defecto en un Servidor de Aplicaciones y en un Servidor de Bases de Datos Oracle9i cuándo el servidor HTTP de Oracle se instala. En el Servidor de Aplicaciones Oracle9i Release 2, versión 9.0.2.1 y anteriores la autentificación SOAP está desactivada por defecto con lo cuál el atacante no necesita autentificarse para poder lanzar el ataque. En cambio, en el Servidor de Aplicaciones Oracle9i Release 2, versión 9.0.3.0 y en el Servidor de Bases de Datos Oracle9i la autentificación SOAP está activada por defecto. |
|
Solution |
|
|
Actualización de software Oracle MetaLink Document ID 259556.1 http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=259556.1 |
|
Standar resources |
|
| Property | Value |
| CVE | |
| BID | |
Other resources |
|
|
Oracle Security Alert 65 http://otn.oracle.com/deploy/security/pdf/2004alert65.pdf |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2004-02-20 |
| 2.0 | Aviso actualizado por Oracle | 2004-04-20 |