Risque

  • Déni de service à distance ;
  • exécution de code arbitraire à distance sur certaines plate-formes.

Systèmes affectés

Oracle9iAS Web Cache 2.0.0.1

Résumé

Il est possible d'arrêter le service web à distance, voire d'exécuter du code selon la plate-forme victime de l'attaque.

Description

Un utilisateur mal intentionné peut arrêter à distance le service web par le biais d'une requête HTTP extrêmement longue.

Si l'URL est habilement conçue, elle permettra d'exécuter du code arbitraire sur certaines plate-formes.

Solution

Télécharger et appliquer le correctif selon la plate-forme :

  • Pour Windows NT ou 2000 : 2044682 ;
  • pour Sun Sparc Solaris : 2042106 ;
  • pour HP-UX : 2043908 ;
  • pour Linux : 2043924 ;
  • pour Compaq Tru64 Unix : 2043921 ;
  • pour AIX : 2043917.
http://metalink.oracle.com

Documentation

Bulletin d'alerte Oracle :

http://otn.oracle.com/deploy/security/pdf/webcache.pdf