S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 08 avril 2004
N° CERTA-2004-AVI-116
Affaire suivie par: CERT-FR
le 08 avril 2004

Avis du CERT-FR

Objet: Vulnérabilité dans l’application Oracle OSSO

Gestion du document

Référence CERTA-2004-AVI-116
Titre Vulnérabilité dans l’application Oracle OSSO
Date de la première version 08 avril 2004
Date de la dernière version 08 avril 2004
Source(s) Avis de sécurité MG-2004-01 de Madison Gurkha
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Atteinte à la confidentialité et à l'intégrité des données.

Systèmes affectés

Oracle OSSO (Oracle Single-Sign On).

Résumé

Une vulnérabilité présente dans l'application Oracle OSSO permet à un utilisateur mal intentionné de récupérer les paramètres d'authentification d'un utilisateur légitime.

Description

OSSO (Oracle Single-Sign On) est l'application qui permet une authentification unique sur Oracle9i Application Server.

Un utilisateur mal intentionné peut, par le biais d'une page web malicieusement construite, récupérer les mots de passe d'un utilisateur légitime.

Contournement provisoire

Attribuer une valeur à la variable p_submit_url dans le script utilisé pour l'authentification.

Documentation

Avis de sécurité MG-2004-01 de Madison Gurkha : 

http://www.madison-gurkha.com/advisories/MG-2004-01.txt
.

Gestion détaillée du document

    le 08 avril 2004
    version initiale.