Indhold
Oracle advarer om to alvorlige sikkerhedshuller i firmaets E-Business Suite. Den ene hul kan sætte en angriber i stand til at udføre vilkårlig kode på en E-Business Suite server og se serverens konfigurationsfiler.
Hullet er en buffer overflow fejl i en komponent ved navn FNDWRR, som sætter brugere i stand til at læse rapporter og log-filer i en browser. Fejlen kan udnyttes ved blot at skrive en bestemt udformet webadresse i en browser.
Det andet hul i E-Business Suite findes i JSP-sider, som benyttes af en komponent i E-Business Suite, der går under navnet AOL/J Setup Test Suite. JSP, Java Server Pages, er Javas webscripting-teknologi.
JSP-siderne i komponenten indeholder flere sårbarheder, som kan sætte en angriber i stand til at skaffe sig adgang til konfigurationsoplysninger, der kan benyttes til at udnytte E-Business Suite.
En tredje knap så alvorlig fejl berører Oracles database. En buffer overflow-fejl i en komponent med navnet EXTPROC gør det muligt for en angriber at udføre vilkårlig kode på database-serveren. For at udnytte hullet, kræves der dog administrator-rettigheder, så hullet er først og fremmest farlig i forbindelse med angribere, som befinder sig på indersiden af firewallen.
Oracle har udsendt rettelser til alle tre fejl, og opfordrer administratorer til at opdatere softwaren omgående.