Se ha anunciado la existencia de dos vulnerabilidades en Oracle
E-Business y Oracle Applications que pueden permitir a un usuario
malicioso remoto conseguir acceso al sistema o a información sensible.

Las dos vulnerabilidades afectan a todas las versiones de Oracle
Applications y de Oracle E-Business Suite 11i. El primero de los
problemas consiste en un desbordamiento de búfer en el programa CGI
«FNDWRR.exe» que puede ser explotado a través de HTTP para lograr la
ejecución de código arbitrario en el sistema. El programa FNDWRR.EXE
(tanto en plataformas unix como Windows) se emplea para visualizar
informes y logs en un navegador web.

El segundo problema reside en el script «aoljtest.jsp» que forma parte
de OA Framework Test Suite, que contiene diversas vulnerabilidades que
permitirán a usuarios maliciosos la visualización de información del
sistema incluyendo las contraseñas de usuarios invitados y la llave de
seguridad del servidor de aplicaciones.

Para corregir estos problemas Oracle ha publicado los parches 2919943
y 2939083 disponibles en:
http://metalink.oracle.com/

Antonio Ropero
antonior@hispasec.com

Más información:

Buffer Overflow Vulnerability in Oracle E-Business Suite
http://otn.oracle.com/deploy/security/pdf/2003alert56.pdf

Unauthorized Disclosure of Information in Oracle E-Business Suite
http://otn.oracle.com/deploy/security/pdf/2003alert55.pdf

Compártelo: