Risque
- Atteinte à la confidentialité et à l'intégrité des données
Systèmes affectés
Oracle OSSO (Oracle Single-Sign On).
Résumé
Une vulnérabilité présente dans l'application Oracle OSSO permet à un utilisateur mal intentionné de récupérer les paramètres d'authentification d'un utilisateur légitime.
Description
OSSO (Oracle Single-Sign On) est l'application qui permet une authentification unique sur Oracle9i Application Server.
Un utilisateur mal intentionné peut, par le biais d'une page web malicieusement construite, récupérer les mots de passe d'un utilisateur légitime.
Contournement provisoire
Attribuer une valeur à la variable p_submit_url dans le script utilisé pour l'authentification.
Documentation
- Avis de sécurité MG-2004-01 de Madison Gurkha : . http://www.madison-gurkha.com/advisories/MG-2004-01.txt