Множественные уязвимости в Oracle 9i Application Server

1. Раскрытие информации

   Уязвимость позволяет удаленному атакующему раскрыть исходный код jsp страницы, создавая специально сформированный запрос к существующему .jsp файлу. Полученная информация может использоваться в дальнейших нападениях.

2. Слабые разрешения

   Заданная по умолчанию инсталляция Oracle 9iAS позволяет пользователям с локальным доступом к системе обращаться к некоторым данным инсталляции 9iAS. Пользователь с локальным доступом может также изменить или удалить файлы, которые затрагивает эта уязвимость. Уязвимость присутствует только не Windows системах.

3. Раскрытие содержания WEB-INF

   При некоторых обстоятельствах, удаленного пользователь может получить доступ к содержанию каталога WEB-INF. При этом, удаленный пользователь может потенциально получить доступ к исходному коду Web приложений и другой чувствительной информации.

Уязвимость обнаружена в Oracle Oracle 9i Application Server 9.0.2 release 2, Oracle Oracle 9i Application Server 9.0.2, Oracle Oracle 9i Application Server Release 2 9.0.2