Det mest alvorlige av sikkerhetshullene, som finnes i alle utgaver av Oracle Applications og i Oracle E-Business Suite 11i, utgave 1 til og med 8, kan gi ondsinnede personer systemadgang via Internett.
Les også:
- [04.08.2004] En mengde sikkerhetshull i Oracle
- [11.06.2004] Kritisk sårbarhet i Oracle-applikasjoner
- [31.07.2003] IT-brukerne tetter ikke sikkerhetshull
- [24.07.2003] Bufferfeil i Oracle gir systemadgang
Problemet er knyttet til en ukontrollert buffer i CGI-programmet "FNDWRR.exe", som potensielt kan utnyttes via HTTP til å eksekvere vilkårlig kode på systemet.
En patch som tetter hullet er tilgjengelig. Mer informasjon finnes i dette dokumentet.
Det andre sikkerhetshullet finnes ifølge Oracle i alle utgaver av Oracle Applications og Oracle E-Business Suite 11i. Dette kan gi uvedkommende tilgang til følsom informasjon via Internett.
Problemet er knyttet aoljtest.jsp-skriptet, som er en del av OA Framework Test Suite. Skriptet inneholder ifølge Secunia flere sårbarheter som kan utnyttes av ondsinnede personer til å se systeminformasjon som for eksempel guest-brukerens passord og applikasjonsserverens sikkerhetsnøkler.
Oracle har utgitt en patch som begrenser adgangen, slik at kun innloggede brukere får tilgang til det aktuelle skriptet. Mer informasjon på i dette dokumentet.
