Множественные уязвимости в Oracle Application Server

18 января, 2010

Программа:
Oracle Application Server Release 3 (10.1.3) версии 10.1.3.4.0, 10.1.3.5 и 10.1.3.5.1
Oracle Application Server 10g Release 2 (10.1.2) версия 10.1.2.3.0
Oracle Access Manager версии 7.0.4.3, 10.1.4.2

Опасность: Средняя

Наличие эксплоита: Нет

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, произвести спуфинг атаку, получить доступ к важным данным и произвести неавторизованное изменение данных.

1. Уязвимость существует из-за ошибки в Access Manager Identity Server, которая позволяет удаленному пользователю произвести неавторизованное изменение некоторых данных.

2. Уязвимость существует из-за ошибки в компоненте Oracle Containers для J2EE. Удаленный пользователь может получить доступ к потенциально важным данным.

3. Уязвимость существует из-за ошибки в компоненте Oracle Containers для J2EE. Удаленный пользователь может произвести неавторизованное изменение данных.

4. Уязвимость существует из-за ошибки в компоненте Unzip. Локальный аутентифицированный пользователь может получить доступ к потенциально важным данным.

URL производителя: www.oracle.com

Решение: Установите исправление с сайта производителя.

Источники:

* Oracle Critical Patch Update Advisory - January 2010

URL адреса:

* http://jvn.jp/en/jp/JVN50837839/index.html

CVE:

* CVE-2009-3412
* CVE-2010-0066
* CVE-2010-0067
* CVE-2010-0070