[Generic/Oracle9iAS] Buffer overflow bug im Web Cache
(2001-11-07 14:58:53+00)
Quelle:
http://cert.uni-stuttgart.de/archive/bugtraq/2001/10/msg00226.htmlDurch einen buffer over bug im Oracle9iAS Web Cache kann es zu einem Denial of Service-Angriff und vereinzelt zu einem Code-Injection exploit kommen.
Betroffene Systeme
- Systeme, die Oracle9iAS Web Cache 2.0.0.1 verwenden
Einfallstor
HTTP-Requests
Auswirkung
Möglichkeit zum Denial of Service (DoS) Angriff
Auf einigen Systemen ist die Ausführung beliebigen Programmcodes mit Privilegien des Benutzers, unter dem Oracle9iAS Web Cache läuft, möglich.
Typ der Verwundbarkeit
buffer overflow bug
Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Der Oracle9iAS Web Cache ist integrierter Bestandteil des Oracle Application Servers. Er ist dafür zuständig die, für die Erstellung von Daten verantwortlichen Mechanismen einer Anwendung, von den für ihre Verteilung zuständigen zu trennen. Durch einen Fehler in der Verarbeitung von HTTP Anfragen kann es zu einem Denial of Service Angriff und auf einigen Plattformen gar zur Ausführung beliebigen Codes kommen. Von dieser Schwachstelle sind in der Grundeinstellung folgende Ports betroffen:
- 1100/tcp - eingehender Web Cache Proxy
- 4000/tcp - Verwaltungsschnittstelle
- 4001/tcp - Web XML invalidation
- 4002/tcp - Statistiken
Gegenmaßnahmen
Oracle stellt auf http://metalink.oracle.com Patches für folgende Systeme zur Verfügung:
- MS Windows NT/2000 Server - Patch #2044682
- Sun SPARC Solaris - Patch #2042106
- HP-UX - Patch #2043908
- Linux - Patch #2043924
- Compaq Tru64 UNIX - Patch #2043921
- AIX - Patch #2043917
Weitere Information zu diesem Thema
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=545