Grave vulnerabilidad en Oracle

na vulnerabilidad en las versiones Oracle 67, Oracle Applications 11.0 y Oracle E-Business Suite Release 11i, 11.5.1 a 11.5.8, puede permitir que un atacante llegue a controlar la base de datos, mediante la inyección de código SQL dentro de formularios basados en la Web.

SQL, (Structured Query Language), es un lenguaje especializado de programación que permite realizar consultas (queries) a la mayoría de las aplicaciones de bases de datos existentes.

El fallo está clasificado como muy grave, ya que puede ser explotado por personas con pocos conocimientos, y la única solución es la aplicación inmediata del parche publicado, ya que no existen otras soluciones temporales conocidas, ni ningún mecanismo de autenticación que pueda mitigarlo.

Esta vulnerabilidad explotable mediante la manipulación e inyección de comandos SQL, permite a un atacante manipular la base de datos poniendo código SQL dentro de campos de entrada de una página Web. Los clientes con aplicaciones de servidor expuestos a Internet son más vulnerables porque pueden ser atacados remotamente por cualquier persona desde un simple navegador. El fallo permite que también el propio sistema operativo pueda ver comprometida su seguridad.

No son afectadas las versiones 11.5.9 y todas las liberadas posteriormente.

La solución es la aplicación del correspondiente parche (solo para usuarios registrados).

Más información:

Oracle E-Business Suite - Multiple SQL Injection Vulnerabilities
http://www.integrigy.com/alerts/OraAppsSQLInjection.htm