Se ha anunciado la existencia de tres vulnerabilidades en Oracle9i Application Server por las cuales un atacante podría llegar a tomar el control del servidor de aplicaciones.
La primera de las vulnerabilidades permite a un atacante la obtención del código fuente de las páginas JSP (Java Server Pages). El segundo de los problemas reside en las instalaciones por defecto de Oracle9i Application Server al permitir a todos los usuarios el control total de todos los archivos del servidor de aplicaciones. Por último bajo determinadas circunstancias, los contenidos de la carpeta WEB-INF queda accesibles para los atacantes lo que permite a los usuarios remotos acceder al código fuente de las aplicaciones e incluso a otra información sensible.
Se recomienda la actualización a la versión Oracle9i Application Server 9.0.2.0.1 para NT y a la versión 9.0.3 para Solaris y otras plataformas UNIX, en las que se encuentran corregidos estos problemas.
antonior@hispasec.com
Más información:
Oracle Security Alert #47
Security Vulnerabilities in Oracle 9i Application Server
http://otn.oracle.com/deploy/security/pdf/2002alert47rev1.pdf
