S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 17 février 2003
N° CERTA-2003-AVI-024
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans Oracle9i Application Server

Gestion du document

Référence CERTA-2003-AVI-024
Titre Vulnérabilités dans Oracle9i Application Server
Date de la première version17 février 2003
Date de la dernière version17 février 2003
Source(s) Bulletin d'alerte #52 d'Oracle
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service

Systèmes affectés

Une première vulnérabilité affecte la version 9.0.2 d'Oracle9i Application Server, la seconde vulnérabilité concerne également la version 9.0.3.

Description

Deux vulnérabilités permettent d'effectuer des dénis de service à l'aide d'URLs malicieusement construites.

Contournement provisoire

La première vulnérabilité peut être corrigée en modifiant la variable DAV du fichier moddav.conf (situé dans le répertoire ORACLE\_HOME/Apache/oradav/conf) :

remplacer DAV on par DAV off.

Solution

Appliquer les correctifs disponibles sur le site d'Oracle suivant les versions et les plates-formes afin de corriger ces vulnérabilités (cf. Documentation).

Documentation

Gestion détaillée du document

    le 17 février 2003
    version initiale.