Boletines de Vulnerabilidades

int(489)

Boletines de Vulnerabilidades

Vulnerabilidad en el componente "Portal" incluido en Oracle 9i Application Server
Clasificación de la vulnerabilidad
Propiedad	Valor
Nivel de Confianza	Oficial
Impacto	Aumento de la visibilidad
Dificultad	Avanzado
Requerimientos del atacante	Acceso remoto sin cuenta a un servicio exotico
Información sobre el sistema
Propiedad	Valor
Fabricante afectado	Comercial Software
Software afectado	Oracle9i Application Server Portal Release 1<= 3.0.9.8.5 Oracle9i Application Server Portal Release 2 <= 9.0.2.3.0
Descripción
Descripción del problema: Se ha descubierto una vulnerabilidad en el componente "Portal" de Oracle 9i Applications Server que permite a un usuario malicioso adquirir acceso remoto a los contenidos de la base de datos Oracle. Detalles técnicos: El componente "Portal" incluido en Oracle 9i Application Server proporciona una interface web (HTTP) para acceder a la base de datos. Esta aplicación está activada en una instalación por defecto. La vulnerabilidad descubierta en el componente "Portal" es un "SQL injection" que permite a un atacante remoto, a través de peticiones URL que contienen sentencias SQL, acceder al contenido de la base de datos Oracle a la que "Portal" tiene acceso.
Solución
Actualización de seguridad Oracle 9i Application Server Oracle9i Application Server 1.0.2.2 (con la version 3.0.9.8.5 del "Portal"), Parche : 3068980 Oracle9i Application Server 9.0.2.1 (con la version 9.0.2.3 del "Portal"), Parche : 2853895 Oracle9i Application Server 9.0.2.2 (con la version 9.0.2.3A del "Portal"), Parche : 2853895 Oracle9i Application Server 9.0.2.3 (con la version 9.0.2.3B del "Portal"), Parche : 2853895 http://metalink.oracle.com
Identificadores estándar
Propiedad	Valor
CVE
BID
Recursos adicionales
Oracle security alert #61 del 3 de Noviembre del 2003 http://otn.oracle.com/deploy/security/pdf/2003alert61.pdf