jueves, 30 de octubre de 2003

Acceso a ficheros restringidos en Oracle Collaboration Suite

Se ha descubierto una vulnerabilidad en Oracle Collaboration Suite que permitiría a usuarios maliciosos el acceso a ficheros restringidos.

Collaboration Suite es un producto de la compañía Oracle (que en el 2001 puso la etiqueta 'Unbreakable' a su software) que integra
diversos servicios para facilitar el trasiego de información a nivel corporativo, enfocado principalmente en reducir los recursos
necesarios para conseguirlo y potenciar la colaboración entre los usuarios. Oracle Files es un componente del producto anteriormente
nombrado. Básicamente es el encargado de almacenar los archivos de forma fiable, escalable y segura, todo en un sistema repositorio
propio.

El problema consiste en que Oracle WebCache almacena temporalmente los archivos con los que se trabaja. Aunque dichos ficheros tengan
restricciones asignadas que evitarían su acceso no autorizado, ese almacenamiento temporal daría la oportunidad a usuarios locales
maliciosos para tener acceso a ellos.

Oracle WebCache y Oracle Files son instalados por defecto como parte de Oracle Collaboration Suite. El problema afecta a las versiones
9.0.3.1.x, 9.0.3.2.0 y 9.0.3.3.x de Oracle Files, mientras que la 9.0.3.3.6 y la 9.0.4.1.x están libres de dicha vulnerabilidad.

Se recomienda actualizar a la mayor brevedad posible. La dirección para descargar el parche que corrige esta vulnerabilidad es la
siguiente:
http://metalink.oracle.com/

Julio Canto
jcanto@hispasec.com

Más información:

Unauthorized Access to Restricted Content in Oracle Files
http://otn.oracle.com/deploy/security/pdf/2003alert60.pdf

Oracle pide silencio a los hackers éticos
http://www.diarioti.com/gate/n.php?id=4220