Ungepatcht

Kritische Schwachstelle in Oracle Application Server Portal

Der Sicherheitsexperte Deniz Cevik hat von einer kritischen Schwachstelle in Oracle Application Server 10g Portal berichtet.

Durch die Schwachstelle lassen sich gewisse Sicherheitsrestriktionen umgehen. Das Problem sei laut Cevik, dass sich die Authentifizierung am Oracle Application Server Portal umgehen lässt. Mit einer speziell präparierten Session-ID, die im Cookie durch /pls/portal/%0A gesetzt wird, ließe sich der Inhalt von /dav_portal/portal/ lesen.

Die Schwachstelle ist bestätigt für Oracle Application Server 10g Portal. Andere Varianten könnten ebenfalls betroffen sein. Ein Update steht derzeit nicht zur Verfügung. Administratoren sollten den Zugriff auf betroffene Systeme so weit als möglich einschränken. (jdo)