Risque
- Elévation de privilèges ;
- exécution de code arbitraire.
Systèmes affectés
Oracle E-Business Suite version 11.0 et toutes les versions de 11.5.1 à 11.5.8 incluses.
Résumé
Une vulnérabilité de type débordement de mémoire a été découverte dans un programme de la suite Oracle E-Business, et permet à un utilisateur mal intentionné d'exécuter du code arbitraire sur la machine.
Description
Le programme Oracle Applications Web Report Review (FNDWRR) est un programme CGI utilisé pour visualiser les rapports et les journaux au travers d'un navigateur web.
Ce programme est installé sous le nom FNDWRR.exe sur les plates-formes UNIX et Windows.
Une vulnérabilité de cette application de type débordement de mémoire permet à un utilisateur distant d'exécuter du code arbitraire sur la machine.
Cette vulnérabilité peut être exploitée à l'aide d'un navigateur web, par le biais d'une URL malicieusement construite.
Solution
Appliquer le correctif fourni par Oracle (cf. section Documentation).
Il est fortement recommandé d'effectuer des sauvegardes avant l'application du correctif, et de tester la stabilité du système une fois la mise à jour installée.
La prochaine version de la suite Oracle E-Business (11.5.9) corrigera la vulnérabilité.
Documentation
Alerte de sécurité Oracle #56 :
http://otn.oracle.com/deploy/security/pdf/2003alert56.pdf
Alerte de sécurité Integrigy :
http://www.integrigy.com/resources.htm
