Oracle电子商务套件 FNDWRR缓冲区溢出

Oracle应用产品FNDWRR CGI程序(用于通过Web浏览器从Concurrent Manager服务器中检索报告输出)具有可远程利用的缓冲区溢出。要解决此安全问题,必须提供Oracle的必需补丁程序。

完整性安全警报

______________________________________________________________________

 

Oracle电子商务套件 FNDWRR缓冲区溢出

2003年7月23日

______________________________________________________________________

 

概要:

 

Oracle应用产品FNDWRR CGI程序(用于通过Web浏览器从Concurrent Manager服务器中检索报告输出)具有可远程利用的缓冲区溢出。 要解决此安全问题,必须提供Oracle的必需补丁程序。

 

产品:    Oracle电子商务套件

版本:   11.0和11.5.1 – 11.5.8

平台:   All platforms

风险等级:

______________________________________________________________________

 

描述:

 

Oracle应用产品Web报告审阅(FNDWRR)程序用于在Web浏览器中查看报告和日志。 FNDWRR被实现为CGI程序。 在UNIX和Windows平台上,FNDWRR CGI程序都被命名为“ FNDWRR.exe”。

 

FNDWRR程序中存在缓冲区溢出,攻击者可能借此获得对该进程的控制权并在服务器上执行任意代码。 可以使用Web浏览器和过长的URL来远程利用此缓冲区溢出。

 

解:

 

Oracle已发布了针对Oracle Applications 11.0和11i的补丁程序来纠正此漏洞。 Oracle已修复FNDWRR可执行文件和相关库中的缓冲区溢出。

 

必须应用以下Oracle补丁-

 

      Version     Patch

      -------     -----

      11.0        2919943     (All Releases)

      11i         2919943     (11.5.1 – 11.5.8)

 

Oracle应用产品客户应将此漏洞视为高风险,并在下一个维护周期内应用上述补丁。 具有面向Internet的应用程序服务器的客户应立即应用补丁。

 

在应用任何修补程序之前,应执行适当的测试和备份。

 

附加信息:

 

  http://www.katsenatps.com/resources.htm

  http://otn.oracle.com/deploy/security/pdf/2003alert56.pdf

 

有关此安全警报的更多信息或问题,请通过以下方式与我们联系 [email protected].

 

信用:

 

此漏洞由Integrigy Corporation的Stephen Kost发现。

______________________________________________________________________

 

关于Integrigy公司 (www.integrigy.com)

 

整合学 Corporation是大型企业,关键任务应用程序的应用程序安全性的领导者。我们的应用程序漏洞评估工具AppSentry可帮助公司保护最大,最重要的应用程序。 整合咨询为领先的ERP和CRM应用程序提供安全评估服务。

 

有关更多信息,请访问 www.integrigy.com.

 

分享这个帖子