Risque

  • Fuite de données ;
  • contournement des règles de sécurité.

Systèmes affectés

La première vulnérabilité concerne l'ensemble des plateformes possédant la version :

  • Oracle 9i Application Server Release 2 v.9.0.2.0.0.

Une seconde vulnérabilité affecte les plateformes Windows NT et 2000 possédant la version :

  • Oracle 9i Application Server v.1.0.2.2.

La dernière vulnérabilité affecte toutes les plateformes avec les versions suivantes :

  • Oracle 9i Application Server v.1.0.2.2 ,
  • Oracle 9i Application Server Release 2 v.9.0.2.0.0 et v.9.0.2.0.1.

Résumé

Plusieurs vulnérabilités ont été découvertes dans Oracle Application Server.

Description

  • Une vulnérabilité permet de visualiser le code source dans Java Server Page (JSP) ;
  • des permissions NTFS pas assez restrictives permettent à tous les utilisateurs d'accèder au répertoire d'Oracle et à tous ses sous-répertoires ;
  • le contenu du dossier WEB-INF (pour OC4J) est accessible.

Solution

Appliquer les correctifs d'Oracle suivant la plateforme et la version affectée (cf. Documentation).

Documentation

Bulletin de sécurité #47 d'Oracle :

http://otn.oracle.com/deploy/security/pdf/2002alert47rev1.pdf