Se ha anunciado la existencia de una vulnerabilidad en Oracle Web
Cache, en todas sus plataformas. La vulnerabilidad puede ser explotada de forma remota y permitirá al atacante lograr la ejecución de código arbitrario.
racle Web Cache es una solución para la aceleración de aplicaciones empleando tecnología de caché y compresión para optimizar el rendimiento de los programas minimizando los recursos de hardware.
La condición de desbordamiento existente en las versiones Oracle
Application Server Web Cache 10g (9.0.4.0.0) y Oracle9i Application
Server Web Cache se presenta en el proceso "webcached" cuando se realiza una petición HTTP/HTTPS no válida. El atacante podrá explotar la vulnerabilidad si envía una cabecera excesivamente larga como el método de la petición HTTP, los valores válidos para el método de la petición HTTP son GET, HEAD, POST, PUT, DELETE, TRACE, CONNECT.
En el anuncio se señala que muchos firewalls no protegen contra esta vulnerabilidad, por lo que se recomienda la instalación de los parches publicados por Oracle para evitar el problema, disponibles en:
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=265310.1
Más información:
Vulnerabilities in Oracle Application Server Web Cache
http://otn.oracle.com/deploy/security/pdf/2004alert66.pdf
Heap Overflow in Oracle 9iAS / 10g Application Server Web Cache
http://www.inaccessnetworks.com/ian/services/secadv01.txt
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
Entérate de cuándo hay nuevos comentarios