Verschiedene Sicherheitslücken in Oracle Portal

In der Web-basierten Benutzeroberfläche Portal der Oracle 10g Datenbank wurden eine zwei Lücken entdeckt, die für XSS-Angriffe missbraucht werden können.

Betroffen sind alle aktuellen Versionen von Oracle Portal. Im Java Server Pages basierten Code gibt es primär zwei Schwachstellen: Eingaben über den Parameter "enc" der Datei "/webapp/jsp/calender.jsp" werden vor der Rückgabe an den Benutzer nicht korrekt bereinigt. Gleiches gilt für den Parameter "tc" in der Datei "/webapp/jsp/container_tabs.jsp". Diese Sicherheitslücken können von einem entfernten Angreifer zur Einspeisung von HTML- oder Script-Code missbraucht werden, um einen Cross-Site-Scripting-Angriff durchzuführen. Ein Patch existiert bislang nicht, daher empfiehlt sich die Filterung der entsprechenden Parameter beispielsweise über einen Proxy-Server. (twi)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.

tecCHANNEL Shop und Preisvergleich

Links zum Thema IT-Sicherheit

Angebot

Bookshop

Bücher zum Thema

eBooks (50 % Preisvorteil)

eBooks zum Thema

Software-Shop

Virenscanner