S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 17 février 2003
N° CERTA-2003-AVI-024
Affaire suivie par: CERT-FR
le 17 février 2003

Avis du CERT-FR

Objet: Vulnérabilités dans Oracle9i Application Server

Gestion du document

Référence CERTA-2003-AVI-024
Titre Vulnérabilités dans Oracle9i Application Server
Date de la première version 17 février 2003
Date de la dernière version 17 février 2003
Source(s) Bulletin d'alerte #52 d'Oracle
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Déni de service.

Systèmes affectés

Une première vulnérabilité affecte la version 9.0.2 d'Oracle9i Application Server, la seconde vulnérabilité concerne également la version 9.0.3.

Description

Deux vulnérabilités permettent d'effectuer des dénis de service à l'aide d'URLs malicieusement construites.

Contournement provisoire

La première vulnérabilité peut être corrigée en modifiant la variable DAV du fichier moddav.conf (situé dans le répertoire ORACLE\_HOME/Apache/oradav/conf) :

remplacer DAV on par DAV off.

Solution

Appliquer les correctifs disponibles sur le site d'Oracle suivant les versions et les plates-formes afin de corriger ces vulnérabilités (cf. Documentation).

Documentation

Bulletin d'alerte #52 d'Oracle :

http://otn.oracle.com/deploy/security/pdf/2003alert52.pdf

Gestion détaillée du document

    le 17 février 2003
    version initiale.