Risque
- Exécution de code arbitraire ;
- exécution de commande arbitraire ;
- atteinte à la confidentialité des données ;
- atteinte à l'intégrité des données ;
- élévation de privilèges ;
- cross-site scripting.
Systèmes affectés
- Oracle Application Server 10g ;
- Oracle Developer Suite 10g ;
- Oracle9i Application Server ;
- Oracle9i Developer Suite.
Description
De nombreuses vulnérabilités découvertes dans les produits Oracle permettent à un utilisateur distant de réaliser de attaques de type cross-site scripting, d'élever ses privilèges, d'exécuter des commandes ou du code arbitraire et de porter atteinte à la confidentialité et à l'intégrité des données présentes sur le systèmes.
Contournement provisoire
L'éditeur n'a pas publié de mise à jour de sécurité.
- Filrer les requêtes URL, au moyen d'un proxy ou d'un pare-feu ;
- autoriser l'accès aux systèmes vulnérables uniquement au personnes de confiance ;
- interdire aux utilisateurs qui ne sont pas de confiance d'uploader des fichiers sur les systèmes vulnérables.
Documentation
- Bulletins de sécurité Red DataBase Security du 21 juillet :
http://red-database-security.com/advisory/oracle_reports_various_css.html
http://red-database-security.com/advisory/oracle_reports_read_any_xml.html
http://red-database-security.com/advisory/oracle_reports_read_any_file.html
http://red-database-security.com/advisory/oracle_reports_overwrite_any_file.html
http://red-database-security.com/advisory/oracle_reports_run_any_os_command.html
http://red-database-security.com/advisory/oracle_forms_run_any_os_command.html
- Référence CVE CAN-2005-2371 :
https://www.cve.org/CVERecord?id=CAN-2005-2371
- Référence CVE CAN-2005-2372 :
https://www.cve.org/CVERecord?id=CAN-2005-2372
- Référence CVE CAN-2005-2378 :
https://www.cve.org/CVERecord?id=CAN-2005-2378
- Référence CVE CAN-2005-2379 :
https://www.cve.org/CVERecord?id=CAN-2005-2379