S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 24 octobre 2001
N° CERTA-2001-AVI-125
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Débordement de mémoire de Oracle 9iAS Web Cache

Gestion du document

Référence CERTA-2001-AVI-125
Titre Débordement de mémoire de Oracle 9iAS Web Cache
Date de la première version24 octobre 2001
Date de la dernière version24 octobre 2001
Source(s) Bulletin d'alerte Oracle
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance sur certaines plate-formes

Systèmes affectés

Oracle9iAS Web Cache 2.0.0.1

Résumé

Il est possible d'arrêter le service web à distance, voire d'exécuter du code selon la plate-forme victime de l'attaque.

Description

Un utilisateur mal intentionné peut arrêter à distance le service web par le biais d'une requête HTTP extrêmement longue.

Si l'URL est habilement conçue, elle permettra d'exécuter du code arbitraire sur certaines plate-formes.

Solution

Télécharger et appliquer le correctif selon la plate-forme :

  • Pour Windows NT ou 2000 : 2044682 ;
  • pour Sun Sparc Solaris : 2042106 ;
  • pour HP-UX : 2043908 ;
  • pour Linux : 2043924 ;
  • pour Compaq Tru64 Unix : 2043921 ;
  • pour AIX : 2043917.
<!-- -->

http://metalink.oracle.com

Documentation

Gestion détaillée du document

    le 24 octobre 2001
    version initiale.