Se ha descubierto una vulnerabilidad en el servidor de aplicaciones de
Oracle9i que puede ser explotada por usuarios maliciosos para adquirir
información sensible.

El Application Server es un producto de Oracle hace de capa intermedia
y da, entre otros servicios, los medios para la creación rápida de
webs dinámicas, crear portales configurables, integrar servicios
inalámbricos, extraer ‘business intelligence’, etc.

La vulnerabilidad se debe a la falta de validación correcta de una
entrada en el componente Portal cuando se da la información
proporcionada por el usuario a las tablas de diccionarios de datos.
Esto puede ser explotado mediante técnicas de inyección SQL para
adquirir información sobre datos de usuarios.

Las versiones afectadas son Oracle9i Application Server Portal Release
1, v3.0.9.8.5 (y anteriores), y la v9.0.2.3.0 (y anteriores) del
Release 2. Las versiones 9.0.2.6 y posteriores no son vulnerables a
este ataque.

Se han publicado parches de actualización para las versiones
vulnerables anteriormente nombradas (Oracle recomienda encarecidamente
su aplicación a la mayor brevedad posible), y están disponibles en la
siguiente dirección:
http://metalink.oracle.com

Julio Canto
jcanto@hispasec.com

Más información:

SQL Injection Vulnerability in Oracle9i Application Server
http://otn.oracle.com/deploy/security/pdf/2003alert61.pdf

Compártelo: