S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 14 novembre 2003
N° CERTA-2003-AVI-192
Affaire suivie par: CERT-FR
le 14 novembre 2003

Avis du CERT-FR

Objet: Vulnérabilité sur Oracle9i Application Server Portal

Gestion du document

Référence CERTA-2003-AVI-192
Titre Vulnérabilité sur Oracle9i Application Server Portal
Date de la première version 14 novembre 2003
Date de la dernière version 14 novembre 2003
Source(s) Avis de sécurité 61 d'Oracle
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Divulgation d'informations

Systèmes affectés

  • Versions d'Oracle9i Application Server Portal Release 1 antérieures à la version 3.0.9.8.5 ;
  • Versions d'Oracle9i Application Server Portal Release 2 antérieures à la version 9.0.2.3.0.

Résumé

Une vulnérabilité présente dans Oracle9i Application Server Portal permet à un utilisateur mal intentionné d'accéder à des informations protégées.

Description

Oracle9i Application Server Portal est le portail de Oracle9i application server, le serveur d'applications d'Oracle.

Une vulnérabilité de type « injection sql » permet à un utilisateur mal intentionné, via une url malicieusement construite de récupérer de l'information protégé.

Solution

Appliquer le correctif correspondant à votre version (cf section documentation).

Documentation

Gestion détaillée du document

    le 14 novembre 2003
    version initiale.