Boletines de Vulnerabilidades

int(635)

Boletines de Vulnerabilidades

Vulnerabilidad en el Servidor de Aplicaciones y en el Servidor de Bases de Datos Oracle9i
Clasificación de la vulnerabilidad
Propiedad	Valor
Nivel de Confianza	Oficial
Impacto	Denegación de Servicio
Dificultad	Avanzado
Requerimientos del atacante	Acceso remoto con cuenta
Información sobre el sistema
Propiedad	Valor
Fabricante afectado	Comercial Software
Software afectado	Oracle9i Application Server Release 2, version 9.0.3.0, version 9.0.3.1 Oracle9i Application Server Release 2, version <= 9.0.2.3 Oracle9i Application Server Release 1, version 1.0.2.2, version 1.0.2.2.2 Oracle9i Database Server Release 2, version >=9.2.0.1
Descripción
Una vulnerabilidad ha sido descubierta en el Servidor de Aplicaciones y en el Servidor de Bases de Datos Oracle9i. La explotación de está vulnerabilidad podría permitir a un atacante remoto provocar una situación de denegación de servicio mediante el envío de un mensaje SOAP cuyo XML contenga unas DTD (Definiciones de tipos de datos) especialmente diseñadas. Hay que destacar que tanto XML como SOAP se instalan por defecto en un Servidor de Aplicaciones y en un Servidor de Bases de Datos Oracle9i cuándo el servidor HTTP de Oracle se instala. En el Servidor de Aplicaciones Oracle9i Release 2, versión 9.0.2.1 y anteriores la autentificación SOAP está desactivada por defecto con lo cuál el atacante no necesita autentificarse para poder lanzar el ataque. En cambio, en el Servidor de Aplicaciones Oracle9i Release 2, versión 9.0.3.0 y en el Servidor de Bases de Datos Oracle9i la autentificación SOAP está activada por defecto.
Solución
Actualización de software Oracle MetaLink Document ID 259556.1 http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=259556.1
Identificadores estándar
Propiedad	Valor
CVE
BID
Recursos adicionales
Oracle Security Alert 65 http://otn.oracle.com/deploy/security/pdf/2004alert65.pdf