Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Grave vulnerabilidad en Oracle
 
VSantivirus No. 1438 Año 8, domingo 13 de junio de 2004

Grave vulnerabilidad en Oracle
http://www.vsantivirus.com/vul-oracle-sql.htm

Por Angela Ruiz
angela@videosoft.net.uy


Oracle E-Business Suite, es un conjunto de aplicaciones utilizado para la administración de modelos de bases de datos simples, aplicados al mundo de los negocios. Ayuda al registro y administración de clientes, servicios de distribución, inventarios, entregas, pagos, etc.

Una vulnerabilidad en las versiones Oracle 67, Oracle Applications 11.0 y Oracle E-Business Suite Release 11i, 11.5.1 a 11.5.8, puede permitir que un atacante llegue a controlar la base de datos, mediante la inyección de código SQL dentro de formularios basados en la Web.

SQL, (Structured Query Language), es un lenguaje especializado de programación que permite realizar consultas (queries) a la mayoría de las aplicaciones de bases de datos existentes.

El fallo está clasificado como muy grave, ya que puede ser explotado por personas con pocos conocimientos, y la única solución es la aplicación inmediata del parche publicado, ya que no existen otras soluciones temporales conocidas, ni ningún mecanismo de autenticación que pueda mitigarlo.

Esta vulnerabilidad explotable mediante la manipulación e inyección de comandos SQL, permite a un atacante manipular la base de datos poniendo código SQL dentro de campos de entrada de una página Web. Los clientes con aplicaciones de servidor expuestos a Internet son más vulnerables porque pueden ser atacados remotamente por cualquier persona desde un simple navegador. El fallo permite que también el propio sistema operativo pueda ver comprometida su seguridad.

No son afectadas las versiones 11.5.9 y todas las liberadas posteriormente.

La solución es la aplicación del correspondiente parche (solo para usuarios registrados).

Más información:

Oracle E-Business Suite - Multiple SQL Injection Vulnerabilities
http://www.integrigy.com/alerts/OraAppsSQLInjection.htm





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS