Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Oracle 9iAS Release 1.0.x ;
- tous les produits Oracle incluant Oracle Reports Server versions 6.0.8.18.0 et antérieures.
Résumé
Une vulnérabilité a été découverte dans Oracle Reports Server 6i.
Description
Oracle Reports Server met en oeuvre un programme de type CGI vulnérable à un débordement de mémoire. Cette vulnérabilité peut être exploitée par un individu mal intentionné afin d'exécuter du code arbitraire à distance avec les privilèges du compte du serveur web.
Solution
Appliquer le correctif fourni par Oracle :
http://metalink.oracle.com
Documentation
- Bulletin de sécurite #35 de Oracle : http://otn.oracle.com/deploy/security/pdf/reports6i_alert.pdf