[SECURITY-L] Oracle alerta para falhas de seguranca

Daniela Regina Barbetti Silva daniela em ccuec.unicamp.br
Sex Jul 25 09:42:06 -03 2003 

----- Forwarded message from Caio Souza Mendes <caio_sm em yahoo.com.br> -----

From: Caio Souza Mendes <caio_sm em yahoo.com.br>
Subject: Oracle alerta para falhas de seguranXa
To: security em unicamp.br
Date: Thu, 24 Jul 2003 19:48:31 -0300 (ART)

Oracle alerta para falhas de segurança

Quinta-feira, 24 de Julho de 2003 - 18h02

IDG Now!

http://idgnow.terra.com.br/idgnow/corporate/2003/07/0001

A Oracle divulgou nesta quinta-feira (24/07), alerta
sobre duas sérias falhas de segurança existentes na
solução E-Business suite, que se não forem corrigidas,
podem permitir que um invasor execute um código
malicioso no servidor da E-Business Suite ou consiga
visualizar todas as informações de configuração do
produto.

Segundo a empresa, uma falha de buffer overflow
chamada FNDWRR poderia permitir que um invasor cause
estragos na solução. O FNDWRR é um programa de
interface comum de gateway (CGI) que permite aos
clientes a visualização dos relatórios da Oracle e
cadastra arquivos via Web browser, de acordo com um
alerta divulgado pela empresa de segurança Integrity
Corp, responsável pela descoberta da vulnerabilidade.

A Oracle ainda anunciou que outra falha de segurança
foi descoberta nas páginas do servidor Java (JSPs)
associadas ao componente AOL/J Setup test Suite da
Suite de E-Business da empresa. As JSPs contém
múltiplas vulnerabilidades de segurança que permitem
aos invasores a obtenção de dados de configuração que
podem ser usados para invadir a E-Business Suite.

As duas falhas foram classificadas pela empresa como
sendo de “alto risco”. A Oracle forneceu software de
correção para cada problema e pediu aos seus cliente
para revisar os boletins de segurança e aplicar as
correções.

Ainda nesta semana, na quarta-feira (23/07), a Oracle
revelou uma terceira falha que afeta a solução de
banco de dados da empresa. Um buffer overflow do banco
de dados chamado EXTPROC permite a execução de código
malicioso na máquina afetada. Apesar disso, os
invasores têm que conhecer uma senha com privilégios
especiais para conseguir se aproveitar desta falha,
que também não pode ser acionada de modo remoto.

A Oracle alerta, no entanto, que se o banco de dados
for conectado diretamente à Web, sem proteção de um
servidor de aplicações ou de um firewall, a falha
poderá ser acionada. A empresa classificou a falha
como sendo de “baixo risco”, porque a mesma é muito
mais suscetível à exploração de invasores internos das
Intranets corporativas. A empresa também já tem a
correção para esta falha e recomenda que os clientes
revisem o alerta de segurança antes de aplicarem o
software.

[ Paul Roberts - IDG News Service / EUA ]


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L