Flere sikkerhetshull i Oracle-løsninger

Det er offentliggjort to nye sikkerhetshull i Oracle E-business Suite og Oracle Applications. Det ene anses som meget kritisk.

Det mest alvorlige av sikkerhetshullene, som finnes i alle utgaver av Oracle Applications og i Oracle E-Business Suite 11i, utgave 1 til og med 8, kan gi ondsinnede personer systemadgang via Internett.

    Les også:

Problemet er knyttet til en ukontrollert buffer i CGI-programmet "FNDWRR.exe", som potensielt kan utnyttes via HTTP til å eksekvere vilkårlig kode på systemet.

En patch som tetter hullet er tilgjengelig. Mer informasjon finnes i dette dokumentet.

Det andre sikkerhetshullet finnes ifølge Oracle i alle utgaver av Oracle Applications og Oracle E-Business Suite 11i. Dette kan gi uvedkommende tilgang til følsom informasjon via Internett.

Problemet er knyttet aoljtest.jsp-skriptet, som er en del av OA Framework Test Suite. Skriptet inneholder ifølge Secunia flere sårbarheter som kan utnyttes av ondsinnede personer til å se systeminformasjon som for eksempel guest-brukerens passord og applikasjonsserverens sikkerhetsnøkler.

Oracle har utgitt en patch som begrenser adgangen, slik at kun innloggede brukere får tilgang til det aktuelle skriptet. Mer informasjon på i dette dokumentet.

Til toppen