Risque

Exécution de code arbitraire à distance.

Systèmes affectés

  • Oracle 9iAS Release 1.0.x ;
  • tous les produits Oracle incluant Oracle Reports Server versions 6.0.8.18.0 et antérieures.

Résumé

Une vulnérabilité a été découverte dans Oracle Reports Server 6i.

Description

Oracle Reports Server met en oeuvre un programme de type CGI vulnérable à un débordement de mémoire. Cette vulnérabilité peut être exploitée par un individu mal intentionné afin d'exécuter du code arbitraire à distance avec les privilèges du compte du serveur web.

Solution

Appliquer le correctif fourni par Oracle :

http://metalink.oracle.com

Documentation

Bulletin de sécurite #35 de Oracle :

http://otn.oracle.com/deploy/security/pdf/reports6i_alert.pdf