Risques
- Déni de service
- Exécution de code arbitraire à distance
Systèmes affectés
Oracle9iAS version 9.0.2 et antérieures.
Résumé
Une vulnérabilité présente dans le serveur WEB apache intégré au gestionnaire de base de donnée Oracle9iAS permet à un utilisateur mal intentionné d'exécuter du code arbitraire ou d'effectuer un déni de service du système.
Description
Une vulnérabilité dans le traitement de certaines requêtes sur le serveur Web Apache permet à un utilisateur mal intentionné d'effectuer un déni de service ou d'exécuter du code arbitraire.
Pour plus d'information sur cette vulnérabilité voir l'avis de sécurité du CERTA (cf section documentation).
Solution
Appliquer le correctif numéro 2424256 disponible sur le site d'Oracle (cf section documentation).
Documentation
- Avis de sécurité #36 Oracle : http://otn.oracle.com/deploy/security/pdf/apache_alert.pdf
- Avis de sécurité du CERTA concernant la vulnérabilité du serveur WEB apache : http://www.certa.ssi.gouv.fr/site/CERTA-2002-AVI-130/index.html
- Correctif disponible à l'adresse suivante : http://metalink.oracle.com