S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 26 décembre 2002
N^o CERTA-2002-AVI-281

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Multiples vulnérabilités dans Oracle 9i Application Server

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2002-AVI-281

Gestion du document

Tableau 1: gestion du document

Référence	CERTA-2002-AVI-281
Titre	Multiples vulnérabilités dans Oracle 9i Application Server
Date de la première version	26 décembre 2002
Date de la dernière version	-
Source(s)	Bulletin de sécurité Oracle #47
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

La première vulnérabilité concerne l'ensemble des plateformes possédant la version :

Une seconde vulnérabilité affecte les plateformes Windows NT et 2000 possédant la version :

La dernière vulnérabilité affecte toutes les plateformes avec les versions suivantes :

Plusieurs vulnérabilités ont été découvertes dans Oracle Application Server.

Une vulnérabilité permet de visualiser le code source dans Java Server Page (JSP) ;
des permissions NTFS pas assez restrictives permettent à tous les utilisateurs d'accèder au répertoire d'Oracle et à tous ses sous-répertoires ;
le contenu du dossier WEB-INF (pour OC4J) est accessible.

Appliquer les correctifs d'Oracle suivant la plateforme et la version affectée (cf. Documentation).

Bulletin de sécurité #47 d'Oracle :

http://otn.oracle.com/deploy/security/pdf/2002alert47rev1.pdf

CERTA
2012-01-04