Categories: SeguridadVirus

Vulnerabilidades en Oracle Web Cache/Application Server

La primera se debe a que las entradas recibidas en los parámetros “cache_dump_file” y “PartialPageErrorPage” en “webcacheadmin” en el puerto 4000 no son filtradas adecuadamente antes de ser devueltas al usuario, lo que puede ser explotado para ejecutar código HTML y script arbitrario en el navegador de la víctima con el contexto de seguridad del sitio afectado. Esta vulnerabilidad puede ser explotada con posterioridad para escribir basura en archivos arbitrarios con el parámetro “cache_dump_file”.

Se puede acceder a URLs restringidas en Oracle Application Server (puerto 7779) mediante Web Cache en el puerto 7778.

Estas vulnerabilidades han sido confirmadas en un sistema con Oracle Application Server y Oracle9iAS Web Cache. La actualización que Oracle publicó el día 13 de abril y que también fue comentada en una-al-dia, incluye (entre otros muchos) la corrección para estos problemas. Hay que recordar que Oracle no facilitó en aquel momento detalle alguno sobre los problemas corregidos, sus causas y sus incidencias, pero desarrolladores e investigadores independientes empiezan a publicar dicha información. Desde Hispasec recomendamos la actualización de los sistemas con el parche publicado por Oracle, disponible en: http://metalink.oracle.com/metalink/plsql/showdoc?db=Not&id=301040.1

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Nutanix Enterprise AI permitirá ejecutar aplicaciones de inteligencia artificial on-premise y en la nube pública

Se puede implementar en plataformas de Kubernetes, el edge, centros de datos y servicios como…

16 horas ago

Red Hat comprará Neural Magic

La empresa adquirida está especializada en software para impulsar las cargas de trabajo de inferencia…

16 horas ago

Las serias implicaciones de la inteligencia artificial en la disponibilidad energética

Gartner cree que 4 de cada 10 centros de datos de IA se enfrentarán a…

17 horas ago

Datadog lanza Kubernetes Active Remediation

Esta herramienta ayuda a automatizar la detección de problemas y a reparar entornos de Kubernetes.

18 horas ago

Así es TOUGHBOOK 33mk4, la nueva tableta desmontable de Panasonic Connect

Entre sus características se encuentran una pantalla de 12 pulgadas en formato 3:2 y un…

18 horas ago

NetApp introduce nuevos sistemas AFF A-Series y AFF C-Series

La compañía lanza, por un lado, los modelos AFF A20, A30 y A50 y, por…

19 horas ago