CERTA-2003-AVI-121

Vulnerability from certfr_avis - Published: - Updated:

Une vulnérabilité de type débordement de mémoire a été découverte dans un programme de la suite Oracle E-Business, et permet à un utilisateur mal intentionné d'exécuter du code arbitraire sur la machine.

Description

Le programme Oracle Applications Web Report Review (FNDWRR) est un programme CGI utilisé pour visualiser les rapports et les journaux au travers d'un navigateur web.

Ce programme est installé sous le nom FNDWRR.exe sur les plates-formes UNIX et Windows.

Une vulnérabilité de cette application de type débordement de mémoire permet à un utilisateur distant d'exécuter du code arbitraire sur la machine.

Cette vulnérabilité peut être exploitée à l'aide d'un navigateur web, par le biais d'une URL malicieusement construite.

Solution

Appliquer le correctif fourni par Oracle (cf. section Documentation).

Il est fortement recommandé d'effectuer des sauvegardes avant l'application du correctif, et de tester la stabilité du système une fois la mise à jour installée.

La prochaine version de la suite Oracle E-Business (11.5.9) corrigera la vulnérabilité.

Oracle E-Business Suite version 11.0 et toutes les versions de 11.5.1 à 11.5.8 incluses.

Impacted products
Vendor Product Description
References
Alerte de sécurité Oracle #56 None vendor-advisory

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eOracle E-Business Suite version 11.0 et toutes les versions de  11.5.1 \u00e0 11.5.8 incluses.\u003c/P\u003e",
  "content": "## Description\n\nLe programme Oracle Applications Web Report Review (FNDWRR) est un\nprogramme CGI utilis\u00e9 pour visualiser les rapports et les journaux au\ntravers d\u0027un navigateur web.\n\nCe programme est install\u00e9 sous le nom FNDWRR.exe sur les plates-formes\nUNIX et Windows.  \n\nUne vuln\u00e9rabilit\u00e9 de cette application de type d\u00e9bordement de m\u00e9moire\npermet \u00e0 un utilisateur distant d\u0027ex\u00e9cuter du code arbitraire sur la\nmachine.\n\nCette vuln\u00e9rabilit\u00e9 peut \u00eatre exploit\u00e9e \u00e0 l\u0027aide d\u0027un navigateur web,\npar le biais d\u0027une URL malicieusement construite.\n\n## Solution\n\nAppliquer le correctif fourni par Oracle (cf. section Documentation).  \n\nIl est fortement recommand\u00e9 d\u0027effectuer des sauvegardes avant\nl\u0027application du correctif, et de tester la stabilit\u00e9 du syst\u00e8me une\nfois la mise \u00e0 jour install\u00e9e.  \n\nLa prochaine version de la suite Oracle E-Business (11.5.9) corrigera la\nvuln\u00e9rabilit\u00e9.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2003-AVI-121",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2003-07-25T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    },
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 de type d\u00e9bordement de m\u00e9moire a \u00e9t\u00e9 d\u00e9couverte dans\nun programme de la suite Oracle E-Business, et permet \u00e0 un utilisateur\nmal intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire sur la machine.\n",
  "title": "D\u00e9bordement de m\u00e9moire dans le programme FNDWRR de la suite Oracle E-Business",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Alerte de s\u00e9curit\u00e9 Oracle #56",
      "url": "http://otn.oracle.com/deploy/security/pdf/2003alert56.pdf"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.