Categories: SeguridadVirus

Vulnerabilidades en Oracle Web Cache/Application Server

La primera se debe a que las entradas recibidas en los parámetros “cache_dump_file” y “PartialPageErrorPage” en “webcacheadmin” en el puerto 4000 no son filtradas adecuadamente antes de ser devueltas al usuario, lo que puede ser explotado para ejecutar código HTML y script arbitrario en el navegador de la víctima con el contexto de seguridad del sitio afectado. Esta vulnerabilidad puede ser explotada con posterioridad para escribir basura en archivos arbitrarios con el parámetro “cache_dump_file”.

Se puede acceder a URLs restringidas en Oracle Application Server (puerto 7779) mediante Web Cache en el puerto 7778.

Estas vulnerabilidades han sido confirmadas en un sistema con Oracle Application Server y Oracle9iAS Web Cache. La actualización que Oracle publicó el día 13 de abril y que también fue comentada en una-al-dia, incluye (entre otros muchos) la corrección para estos problemas. Hay que recordar que Oracle no facilitó en aquel momento detalle alguno sobre los problemas corregidos, sus causas y sus incidencias, pero desarrolladores e investigadores independientes empiezan a publicar dicha información. Desde Hispasec recomendamos la actualización de los sistemas con el parche publicado por Oracle, disponible en: http://metalink.oracle.com/metalink/plsql/showdoc?db=Not&id=301040.1

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

La computación a exaescala se expande con HPE Cray EX

Ya hay tres supercomputadores en el mundo que superan el Exaflop/s, todos ellos con un…

9 mins ago

Los comercios electrónicos en España necesitan progresar en la lucha contra el fraude por email

Un estudio de Proofpoint sobre las cincuenta mayores tiendas online descubre que menos de la…

35 mins ago

LG Electronics y Tenstorrent unen fuerzas para desarrollar chips con inteligencia artificial

Se centrarán en áreas como los electrodomésticos, las soluciones de hogar inteligente y la movilidad…

1 hora ago

Ayesa impulsa la transformación tecnológica con su Value Tech Hub

Este hub se centra en la transformación digital, la ciberseguridad y la inteligencia artificial y…

2 horas ago

España, mejor que la media en equidad de género sobre inteligencia artificial

Un 54,7 % de los trabajadores formados en IA en nuestro país son hombres y…

23 horas ago

En España, 1 de cada 3 empleados utiliza IA en su día a día

Las aplicaciones más pujantes son las de traducción automática, los chatbots y los asistentes de…

1 día ago