Security Lab

Множественные уязвимости в Oracle 9i Application Server

Дата публикации:25.12.2002
Всего просмотров:1211
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Oracle 9i Application Server (9iAS) – сервер Web приложений от Oracle. В программе обнаружено несколько уязвимостей:
  1. Раскрытие информации

    Уязвимость позволяет удаленному атакующему раскрыть исходный код jsp страницы, создавая специально сформированный запрос к существующему .jsp файлу. Полученная информация может использоваться в дальнейших нападениях.

  2. Слабые разрешения

    Заданная по умолчанию инсталляция Oracle 9iAS позволяет пользователям с локальным доступом к системе обращаться к некоторым данным инсталляции 9iAS. Пользователь с локальным доступом может также изменить или удалить файлы, которые затрагивает эта уязвимость. Уязвимость присутствует только не Windows системах.

  3. Раскрытие содержания WEB-INF

    При некоторых обстоятельствах, удаленного пользователь может получить доступ к содержанию каталога WEB-INF. При этом, удаленный пользователь может потенциально получить доступ к исходному коду Web приложений и другой чувствительной информации.

Уязвимость обнаружена в Oracle Oracle 9i Application Server 9.0.2 release 2, Oracle Oracle 9i Application Server 9.0.2, Oracle Oracle 9i Application Server Release 2 9.0.2

Ссылки: http://otn.oracle.com/deploy/security/pdf/2002alert47rev1.pdf