Oracle电子商务套件 AOL / J设置测试信息披露

完整性安全警报
______________________________________________________________________

 

Oracle电子商务套件 AOL / J设置测试信息披露

2003年7月23日

______________________________________________________________________

 

概要:

 

用于对自助服务框架进行故障排除的Oracle应用产品AOL / J安装测试套件,可以利用它来远程检索敏感的配置和主机信息,而无需进行应用程序身份验证。 默认情况下,所有11i实现都安装了AOL / J安装测试套件。 要解决此安全问题,必须提供Oracle的必需补丁程序。

 

产品:    Oracle电子商务套件

版本:    11.5.1 – 11.5.8

平台:   All platforms

风险等级:

_____________________________________________________________________

 

描述:

 

Oracle应用产品自助服务框架(OA Framework)是自助服务HRMS,iProcurement,iExpenses和其他Web应用程序的基础。 OA框架包括一个用于验证其安装和配置的测试套件。 AOL / J安装测试套件被实现为Java服务器页面(JSP),而主要的JSP页面是“ aoljtest.jsp”。 在$ COMMON_TOP / html / jsp / fnd目录中为所有11i Web和Forms服务器安装了AOL / J Setup Test Suite。 

 

AOL / J安装测试套件中存在多个漏洞,攻击者无需任何数据库或应用程序身份验证即可获得有关Oracle应用产品配置的有价值的信息。 此信息包括GUEST用户密码和应用程​​序服务器安全密钥。

 

解:

 

Oracle已为Oracle电子商务套件 11i发布了一个修补程序,以纠正此漏洞。 Oracle已更正了AOL / J安装测试套件JSP中的多个漏洞。

 

必须应用以下Oracle补丁-

 

      Version     Patch

      -------     -----

      11i         2939083     (11.5.1 – 11.5.8)

 

Oracle应用产品客户应将此漏洞视为低风险,并在下一个正常维护周期内应用上述补丁。 具有面向Internet的应用程序服务器的客户应立即应用补丁,或考虑删除或限制对AOL / J安装测试套件的访问。 此外,应检查GUEST用户帐户,以确保仅为其分配了可公开访问的职责。

 

在应用任何修补程序之前,应执行适当的测试和备份。

 

附加信息:

 

  http://www.katsenatps.com/resources.htm

  http://otn.oracle.com/deploy/security/pdf/2003alert55.pdf

 

有关此安全警报的更多信息或问题,请通过以下方式与我们联系 [email protected].

 

信用:

 

此漏洞由Integrigy Corporation的Stephen Kost发现。

______________________________________________________________________

 

关于Integrigy公司 ( www.integrigy.com )

 

整合学 Corporation是大型企业,关键任务应用程序的应用程序安全性的领导者。我们的应用程序漏洞评估工具AppSentry可帮助公司保护最大,最重要的应用程序。 整合咨询为领先的ERP和CRM应用程序提供安全评估服务。

 

有关更多信息,请访问 www.integrigy.com .

分享这个帖子