Se han detectado diversos errores en procesos de validación de entrada
de Oracle E-Business Suite que permitirían a usuarios maliciosos
realizar ataques de inyección SQL en el sistema de la víctima.

Oracle E-Business Suite es (citando la web corporativa) «un conjunto
completo de aplicaciones comerciales para la administración y
automatización de procesos en su organización.»

Un usuario remoto malicioso puede enviar al sistema objetivo una URL
especialmente construida a tal efecto que provocaría la ejecución de
comandos SQL, lo que puede llevar de forma directa a comprometer
gravemente la base de datos y las aplicaciones asociadas a ella.

Se ha confirmado que los productos afectados son Oracle E-Business
Suite 11i y Oracle Application 11.0.

Oracle ha publicado una corrección, que está disponible en los
Metalink Note ID 274356.1 (alerta de seguridad) e ID 274375.1
(matriz de disponibilidad de parches):
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=274356.1
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=274375.1

Julio Canto
jcanto@hispasec.com

Más información:

Unauthorized Access Vulnerabilities in Oracle E-­Busines Suite
http://otn.oracle.com/deploy/security/pdf/2004alert67.pdf

Compártelo: