Oracle HTTP Server sérülékenységek

CH azonosító

CH-8950

Angol cím

Oracle HTTP Server Multiple Vulnerabilities

Felfedezés dátuma

2013.04.16.

Súlyosság

Közepes

Érintett rendszerek

HTTP Server
Oracle

Érintett verziók

Oracle HTTP Server 10.x, 11.x

Összefoglaló

Az Oracle HTTP Server több sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók bizalmas információkat szerezhetnek, vagy szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, illetve a támadók bizalmas információkat szerezhetnek, megkerülhetnek egyes biztonsági szabályokat, és szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.

Leírás

  1. A Web Listener alkomponens egy nem részletezett hibáját kihasználva szolgáltatás megtagadást (DoS – Denial of Service) lehet előidézni. Jelenleg nem áll rendelkezésre bővebb információ.
  2. A mod_mem_cache modulban a cache pool objektumok fejlécének kezelése során keletkező hibát kihasználva bizalmas információkat lehet szerezni.
  3. A mod_proxy_ajp modul nem képes megfelelően kezelni a nem megfelelően formázott POST kéréseket, amit kihasználva más felhasználóhoz kapcsolódó bizalmas információkat lehet szerezni speciálisan kialakított HTTP kérések segítségével.

A további sérülékenységekről az alábbi hivatkozásokon található bővebb információ:
CERT-Hungary CH-3215 1. pont
CERT-Hungary CH-2233
CERT-Hungary CH-2307
CERT-Hungary CH-2580 2. pont
CERT-Hungary CH-2940 2. pont
CERT-Hungary CH-3215 1. pont
CERT-Hungary CH-7200 1. pont
CERT-Hungary CH-7088

Megoldás

Telepítse a javítócsomagokat