Oracle E-Business Suite AOL / J安装测试信息披露

积分安全警报
______________________________________________________________________

 

Oracle E-Business Suite AOL / J安装测试信息披露

2003年7月23日

______________________________________________________________________

 

概括:

 

Oracle Applications AOL / J安装套件用于故障拍摄自助服务框架,可以利用来远程检索敏感配置和主机信息,而无需应用程序身份验证。 所有11I实现默认安装AOL / J安装套件。 来自Oracle的强制补丁是解决此安全问题所必需的。

 

产品:    Oracle E-Business Suite

版本:    11.5.1 – 11.5.8

平台:   All platforms

风险等级: Low

_____________________________________________________________________

 

描述:

 

Oracle Applications自助框架(OA框架)是自助服务HRMS,IProcurement,iEpperse和其他Web应用程序的基础。 OA框架包括用于验证其安装和配置的测试套件。 AOL / J Setup Test Suite实现为Java Server Pages(JSP),主JSP页面是“AOLJTEST.JSP”。 AOL / J安装套件已安装所有11i Web和$ Common_top / HTML / JSP / FND目录中的服务器。 

 

AOL / J设置测试套件中存在多种漏洞,允许攻击者获取有关Oracle应用程序的有价值信息而无需任何数据库或应用程序身份验证。 此信息包括访客用户密码和应用程​​序服务器安全密钥。

 

解决方案:

 

Oracle已发布Oracle E-Business Suite 11i的补丁以纠正此漏洞。 Oracle在AOL / J安装套件JSP中纠正了多种漏洞。

 

必须应用以下Oracle修补程序 -

 

      Version     Patch

      -------     -----

      11i         2939083     (11.5.1 – 11.5.8)

 

Oracle Applications客户应考虑此漏洞低风险并在下一个正常维护周期中应用上述补丁。 面向Internet应用程序服务器的客户应立即应用修补程序或考虑删除或限制对AOL / J安装套件的访问。 此外,应检查访客用户帐户,以确保它仅有公开可访问的责任分配给它。

 

应在应用任何补丁之前执行适当的测试和备份。

 

附加信息:

 

  http://www.katsenatps.com/resources.htm

  http://otn.oracle.com/deploy/security/pdf/2003alert55.pdf

 

有关此安全警报的更多信息或问题,请联系我们 警报器@integrigy.com..

 

信用:

 

斯蒂芬·科斯特公司斯蒂芬·克朗特发现了这种漏洞。

______________________________________________________________________

 

关于积分公司 ( www.integrigy.com. )

 

Integigy Corporation是大型企业,关键任务应用程序的应用安全的领导者。我们的应用程序漏洞评估工具Appsentry协助公司确保其最大和最重要的应用程序。 Integy Consulting为领先的ERP和CRM应用提供安全评估服务。

 

有关更多信息,请访问 www.integrigy.com. .

分享这个帖子