Vor drei Software -Löchern, wovon zwei gefährlich seien, warnt Datenbank-Anbieter Oracle. Ferner warnte das Unternehmen erneut vor einem vierten Loch im Application Server. "Unser Rating-System bezieht sich auf die Wahrscheinlichkeit einer Ausnutzung und dem theoretischem Schaden, der damit angerichtet werden kann", erläutert Oracle-Manager John Heimann. Wie in dem Advisory beschrieben, sind die beiden schlimmen Bugs in der E-Business Suite 11i und in allen Versionen von Oracle Applications für Unix und Windows-Plattformen zu finden. Ein Patch wurde bereit gestellt. Der Fehler betrifft das CGI-Skript "FNDWRR". Mit diesem werden Reports und Log-Dateien dargestellt. Doch da der Puffer überschrieben werden kann, könnte beim Skriptaufruf durch eine manipulierte URL fremder Code in ausgeführt werden. Dazu benötige der Angreifer nur einen Webbrowser. Die zweite schwere Lücke entdeckte Oracle im Java Server. Bei diesem könnte ein Angreifer die Konfiguration und Infos zum Host-System aufrufen und sich mittels Buffer Overflow eigenen Code auf dem System ausführen lassen. Auch hier steht ein Patch bereit. Die dritte Lücke im Datenbank-Server ist laut Oracle minder schwer. Zwar könnte ein Angreifer erneut eigenen Code auf dem System ausführen lassen, doch dafür müsste er über Administratoren-Rechte verfügen. Ein Patch steht bereit. (wl)
28.07.2003
Vor drei Software -Löchern, wovon zwei gefährlich seien, warnt Datenbank-Anbieter Oracle. Ferner warnte das Unternehmen erneut vor einem vierten Loch im Application Server. "Unser Rating-System bezieht sich auf die Wahrscheinlichkeit einer Ausnutzung und dem theoretischem Schaden, der damit angerichtet werden kann", erläutert Oracle-Manager John Heimann. Wie in dem Advisory beschrieben, sind die beiden schlimmen Bugs in der E-Business Suite 11i und in allen Versionen von Oracle Applications für Unix und Windows-Plattformen zu finden. Ein Patch wurde bereit gestellt. Der Fehler betrifft das CGI-Skript "FNDWRR". Mit diesem werden Reports und Log-Dateien dargestellt. Doch da der Puffer überschrieben werden kann, könnte beim Skriptaufruf durch eine manipulierte URL fremder Code in ausgeführt werden. Dazu benötige der Angreifer nur einen Webbrowser. Die zweite schwere Lücke entdeckte Oracle im Java Server. Bei diesem könnte ein Angreifer die Konfiguration und Infos zum Host-System aufrufen und sich mittels Buffer Overflow eigenen Code auf dem System ausführen lassen. Auch hier steht ein Patch bereit. Die dritte Lücke im Datenbank-Server ist laut Oracle minder schwer. Zwar könnte ein Angreifer erneut eigenen Code auf dem System ausführen lassen, doch dafür müsste er über Administratoren-Rechte verfügen. Ein Patch steht bereit. (wl)