Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Cross-site scripting
- Exécution de code arbitraire
- Exécution de commande arbitraire
- Élévation de privilèges
Systèmes affectés
- Oracle Application Server 10g ;
- Oracle Developer Suite 10g ;
- Oracle9i Application Server ;
- Oracle9i Developer Suite.
Description
De nombreuses vulnérabilités découvertes dans les produits Oracle permettent à un utilisateur distant de réaliser de attaques de type cross-site scripting, d'élever ses privilèges, d'exécuter des commandes ou du code arbitraire et de porter atteinte à la confidentialité et à l'intégrité des données présentes sur le systèmes.
Contournement provisoire
L'éditeur n'a pas publié de mise à jour de sécurité.
- Filrer les requêtes URL, au moyen d'un proxy ou d'un pare-feu ;
- autoriser l'accès aux systèmes vulnérables uniquement au personnes de confiance ;
- interdire aux utilisateurs qui ne sont pas de confiance d'uploader des fichiers sur les systèmes vulnérables.
Documentation
- Bulletins de sécurité Red DataBase Security du 21 juillet : http://red-database-security.com/advisory/oracle_reports_read_any_xml.html
- Bulletins de sécurité Red DataBase Security du 21 juillet : http://red-database-security.com/advisory/oracle_forms_run_any_os_command.html
- Bulletins de sécurité Red DataBase Security du 21 juillet : http://red-database-security.com/advisory/oracle_reports_run_any_os_command.html
- Bulletins de sécurité Red DataBase Security du 21 juillet : http://red-database-security.com/advisory/oracle_reports_read_any_file.html
- Bulletins de sécurité Red DataBase Security du 21 juillet : http://red-database-security.com/advisory/oracle_reports_overwrite_any_file.html
- Bulletins de sécurité Red DataBase Security du 21 juillet : http://red-database-security.com/advisory/oracle_reports_various_css.html
