Schwerwiegendes Sicherheitsleck in Oracles E-Business Suite
Ein Buffer Overflow in Oracles E-Business Suite ermöglicht das Kompromittieren des Servers.
Oracle warnt in einem Advisory vor einer kritischen SicherheitslĂĽcke in der E-Business Suite 11i und allen Versionen von Oracle Applications fĂĽr Unix und Windows-Plattformen. Ein Patch ist unter der Nummer 2919943 auf den Seiten von Oracle verfĂĽgbar.
Der Fehler findet sich in dem CGI-Skript FNDWRR, das dazu dient, Reports und Log-Dateien darzustellen. Durch einen ungeprüften Puffer kann der Stack überschrieben werden. Durch eine manipulierte URL beim Aufruf des Skripts kann Code in den Stack injiziert und ausgeführt werden. Prinzipiell benötigt ein Angreifer dazu nur einen Webbrowser. (dab)
