S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 26 décembre 2002
N° CERTA-2002-AVI-281
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Oracle 9i Application Server

Gestion du document

Référence CERTA-2002-AVI-281
Titre Multiples vulnérabilités dans Oracle 9i Application Server
Date de la première version26 décembre 2002
Date de la dernière version26 décembre 2002
Source(s) Bulletin de sécurité Oracle #47
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Contournement des règles de sécurité
  • Fuite de données

Systèmes affectés

La première vulnérabilité concerne l'ensemble des plateformes possédant la version :

  • Oracle 9i Application Server Release 2 v.9.0.2.0.0.

Une seconde vulnérabilité affecte les plateformes Windows NT et 2000 possédant la version :

  • Oracle 9i Application Server v.1.0.2.2.

La dernière vulnérabilité affecte toutes les plateformes avec les versions suivantes :

  • Oracle 9i Application Server v.1.0.2.2 ,
  • Oracle 9i Application Server Release 2 v.9.0.2.0.0 et v.9.0.2.0.1.

Résumé

Plusieurs vulnérabilités ont été découvertes dans Oracle Application Server.

Description

  • Une vulnérabilité permet de visualiser le code source dans Java Server Page (JSP) ;
  • des permissions NTFS pas assez restrictives permettent à tous les utilisateurs d'accèder au répertoire d'Oracle et à tous ses sous-répertoires ;
  • le contenu du dossier WEB-INF (pour OC4J) est accessible.

Solution

Appliquer les correctifs d'Oracle suivant la plateforme et la version affectée (cf. Documentation).

Documentation

Gestion détaillée du document

    le 26 décembre 2002
    version initiale.