248213

Präparierte URL hebelt Oracle Application Server Portal auf

16.05.2008 | 12:50 Uhr |

Mit einem einfachen Trick verschaffen sich Hacker Zugang zum Oracle Application Server 10g Portal.

Die Sicherheitslücke wurde von Deniz Cevik entdeckt. Sie wird als sehr kritisch eingestuft, und es gibt noch kein Patch dafür.

Durch die Schwachstelle lassen sich gewisse Sicherheits-Restriktionen umgehen. Das Problem sei laut Cevik, dass sich die Authentifizierung am Oracle Application Server 10g Portal umgehen lässt. Mit einer speziell präparierten Session ID, das im Cookie durch /pls/portal/%0A gesetzt wird, ließe sich der Inhalt von /dav_portal/portal/ lesen.

Die Schwachstelle ist bestätigt für Oracle Application Server 10g Portal. Andere Varianten könnten ebenfalls betroffen sein. Ein Update steht derzeit nicht zur Verfügung. Administratoren sollten den Zugriff auf betroffene Systeme so weit als möglich einschränken. (jdo)

0 Kommentare zu diesem Artikel
248213