CERTA-2003-AVI-121
Vulnerability from certfr_avis

Une vulnérabilité de type débordement de mémoire a été découverte dans un programme de la suite Oracle E-Business, et permet à un utilisateur mal intentionné d'exécuter du code arbitraire sur la machine.

Description

Le programme Oracle Applications Web Report Review (FNDWRR) est un programme CGI utilisé pour visualiser les rapports et les journaux au travers d'un navigateur web.

Ce programme est installé sous le nom FNDWRR.exe sur les plates-formes UNIX et Windows.

Une vulnérabilité de cette application de type débordement de mémoire permet à un utilisateur distant d'exécuter du code arbitraire sur la machine.

Cette vulnérabilité peut être exploitée à l'aide d'un navigateur web, par le biais d'une URL malicieusement construite.

Solution

Appliquer le correctif fourni par Oracle (cf. section Documentation).

Il est fortement recommandé d'effectuer des sauvegardes avant l'application du correctif, et de tester la stabilité du système une fois la mise à jour installée.

La prochaine version de la suite Oracle E-Business (11.5.9) corrigera la vulnérabilité.

Oracle E-Business Suite version 11.0 et toutes les versions de 11.5.1 à 11.5.8 incluses.

Impacted products
Vendor Product Description
References
Alerte de sécurité Oracle #56 None vendor-advisory

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eOracle E-Business Suite version 11.0 et toutes les versions de  11.5.1 \u00e0 11.5.8 incluses.\u003c/P\u003e",
  "content": "## Description\n\nLe programme Oracle Applications Web Report Review (FNDWRR) est un\nprogramme CGI utilis\u00e9 pour visualiser les rapports et les journaux au\ntravers d\u0027un navigateur web.\n\nCe programme est install\u00e9 sous le nom FNDWRR.exe sur les plates-formes\nUNIX et Windows.  \n\nUne vuln\u00e9rabilit\u00e9 de cette application de type d\u00e9bordement de m\u00e9moire\npermet \u00e0 un utilisateur distant d\u0027ex\u00e9cuter du code arbitraire sur la\nmachine.\n\nCette vuln\u00e9rabilit\u00e9 peut \u00eatre exploit\u00e9e \u00e0 l\u0027aide d\u0027un navigateur web,\npar le biais d\u0027une URL malicieusement construite.\n\n## Solution\n\nAppliquer le correctif fourni par Oracle (cf. section Documentation).  \n\nIl est fortement recommand\u00e9 d\u0027effectuer des sauvegardes avant\nl\u0027application du correctif, et de tester la stabilit\u00e9 du syst\u00e8me une\nfois la mise \u00e0 jour install\u00e9e.  \n\nLa prochaine version de la suite Oracle E-Business (11.5.9) corrigera la\nvuln\u00e9rabilit\u00e9.\n",
  "cves": [],
  "initial_release_date": "2003-07-25T00:00:00",
  "last_revision_date": "2003-07-25T00:00:00",
  "links": [],
  "reference": "CERTA-2003-AVI-121",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2003-07-25T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    },
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 de type d\u00e9bordement de m\u00e9moire a \u00e9t\u00e9 d\u00e9couverte dans\nun programme de la suite Oracle E-Business, et permet \u00e0 un utilisateur\nmal intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire sur la machine.\n",
  "title": "D\u00e9bordement de m\u00e9moire dans le programme FNDWRR de la suite Oracle E-Business",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Alerte de s\u00e9curit\u00e9 Oracle #56",
      "url": "http://otn.oracle.com/deploy/security/pdf/2003alert56.pdf"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.