Se han detectado dos problemas de denegación de servicio en Oracle Web
Cache, uno de los componentes la suite Oracle Application Server.
Oracle Web Cache es una parte de la suite Oracle Application Server.
El Web Cache server está diseñado para ser implementado delante de Oracle
Web server y actuar como cache de servidor de proxy inverso.
Existen dos ataques diferentes de denegación de servicio, que podrá
provocar la caída del servicio Web Cache. Las condiciones de
denegación de servicio pueden explotarse mediante simples peticiones
HTTP al servicio Web Cache.
La primera de las denegaciones de servicio se produce al efectuar una
petición HTTP GET que contenga al menos un punto-punto-barra en la
URI:
GET /../ HTTP/1.0
Host: whatever
[CRLF]
[CRLF]
La segunda de las denegaciones se produce al efectuar una petición GET
mal construida:
GET / HTTP/1.0
Host: whatever
Transfer-Encoding: chunked
[CRLF]
[CRLF]
Oracle no va a publicar ningún parche para evitar este problema.
Se recomienda emplear técnicas de firewall para restringir el acceso
al puerto de administración de Web Cache.
Usar la característica «Secure Subnets» de la herramienta Web Cache
Manager para proporcionar acceso únicamente a los administradores
desde una lista de direcciones IP o subredes permitidas.
antonior@hispasec.com
Más información:
Oracle9iAS Web Cache Denial of Service
http://www.atstake.com/research/advisories/2002/a102802-1.txt
Oracle9i Application Server – Web Cache Administration Tool Crash on
Malformed Request
http://otn.oracle.com/deploy/security/pdf/2002alert43rev1.pdf
Deja una respuesta