Oracle电子商务套件 FNDWRR缓冲区溢出
Oracle应用产品FNDWRR CGI程序(用于通过Web浏览器从Concurrent Manager服务器中检索报告输出)具有可远程利用的缓冲区溢出。要解决此安全问题,必须提供Oracle的必需补丁程序。
完整性安全警报
______________________________________________________________________
Oracle电子商务套件 FNDWRR缓冲区溢出
2003年7月23日
______________________________________________________________________
概要:
Oracle应用产品FNDWRR CGI程序(用于通过Web浏览器从Concurrent Manager服务器中检索报告输出)具有可远程利用的缓冲区溢出。 要解决此安全问题,必须提供Oracle的必需补丁程序。
产品: Oracle电子商务套件
版本: 11.0和11.5.1 – 11.5.8
平台: All platforms
风险等级: 高
______________________________________________________________________
描述:
Oracle应用产品Web报告审阅(FNDWRR)程序用于在Web浏览器中查看报告和日志。 FNDWRR被实现为CGI程序。 在UNIX和Windows平台上,FNDWRR CGI程序都被命名为“ FNDWRR.exe”。
FNDWRR程序中存在缓冲区溢出,攻击者可能借此获得对该进程的控制权并在服务器上执行任意代码。 可以使用Web浏览器和过长的URL来远程利用此缓冲区溢出。
解:
Oracle已发布了针对Oracle Applications 11.0和11i的补丁程序来纠正此漏洞。 Oracle已修复FNDWRR可执行文件和相关库中的缓冲区溢出。
必须应用以下Oracle补丁-
Version Patch
------- -----
11.0 2919943 (All Releases)
11i 2919943 (11.5.1 – 11.5.8)
Oracle应用产品客户应将此漏洞视为高风险,并在下一个维护周期内应用上述补丁。 具有面向Internet的应用程序服务器的客户应立即应用补丁。
在应用任何修补程序之前,应执行适当的测试和备份。
附加信息:
http://www.katsenatps.com/resources.htm
http://otn.oracle.com/deploy/security/pdf/2003alert56.pdf
有关此安全警报的更多信息或问题,请通过以下方式与我们联系 [email protected].
信用:
此漏洞由Integrigy Corporation的Stephen Kost发现。
______________________________________________________________________
关于Integrigy公司 (www.integrigy.com)
整合学 Corporation是大型企业,关键任务应用程序的应用程序安全性的领导者。我们的应用程序漏洞评估工具AppSentry可帮助公司保护最大,最重要的应用程序。 整合咨询为领先的ERP和CRM应用程序提供安全评估服务。
有关更多信息,请访问 www.integrigy.com.