S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 14 novembre 2003
N^o CERTA-2003-AVI-192

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Vulnérabilité sur Oracle9i Application Server Portal

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-192

Gestion du document

Tableau 1: gestion du document

Référence	CERTA-2003-AVI-192
Titre	Vulnérabilité sur Oracle9i Application Server Portal
Date de la première version	14 novembre 2003
Date de la dernière version	-
Source(s)	Avis de sécurité 61 d'Oracle
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Divulgation d'informations

2 Systèmes affectés

Versions d'Oracle9i Application Server Portal Release 1 antérieures à la version 3.0.9.8.5 ;
Versions d'Oracle9i Application Server Portal Release 2 antérieures à la version 9.0.2.3.0.

3 Résumé

Une vulnérabilité présente dans Oracle9i Application Server Portal permet à un utilisateur mal intentionné d'accéder à des informations protégées.

4 Description

Oracle9i Application Server Portal est le portail de Oracle9i application server, le serveur d'applications d'Oracle.

Une vulnérabilité de type « injection sql » permet à un utilisateur mal intentionné, via une url malicieusement construite de récupérer de l'information protégé.

5 Solution

Appliquer le correctif correspondant à votre version (cf section documentation).

6 Documentation

Avis de sécurité 61 d'Oracle :

http://otn.oracle.com/deploy/security/pdf/2003alert61.pdf

Gestion détaillée du document

14 novembre 2003: version initiale.

CERTA
2012-01-04