Boletines de Vulnerabilidades |
Vulnerabilidad en el componente "Portal" incluido en Oracle 9i Application Server |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Aumento de la visibilidad |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado |
Oracle9i Application Server Portal Release 1<= 3.0.9.8.5 Oracle9i Application Server Portal Release 2 <= 9.0.2.3.0 |
Descripción |
|
Descripción del problema: Se ha descubierto una vulnerabilidad en el componente "Portal" de Oracle 9i Applications Server que permite a un usuario malicioso adquirir acceso remoto a los contenidos de la base de datos Oracle. Detalles técnicos: El componente "Portal" incluido en Oracle 9i Application Server proporciona una interface web (HTTP) para acceder a la base de datos. Esta aplicación está activada en una instalación por defecto. La vulnerabilidad descubierta en el componente "Portal" es un "SQL injection" que permite a un atacante remoto, a través de peticiones URL que contienen sentencias SQL, acceder al contenido de la base de datos Oracle a la que "Portal" tiene acceso. |
|
Solución |
|
Actualización de seguridad Oracle 9i Application Server Oracle9i Application Server 1.0.2.2 (con la version 3.0.9.8.5 del "Portal"), Parche : 3068980 Oracle9i Application Server 9.0.2.1 (con la version 9.0.2.3 del "Portal"), Parche : 2853895 Oracle9i Application Server 9.0.2.2 (con la version 9.0.2.3A del "Portal"), Parche : 2853895 Oracle9i Application Server 9.0.2.3 (con la version 9.0.2.3B del "Portal"), Parche : 2853895 http://metalink.oracle.com |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | |
BID | |
Recursos adicionales |
|
Oracle security alert #61 del 3 de Noviembre del 2003 http://otn.oracle.com/deploy/security/pdf/2003alert61.pdf |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2003-11-06 |