Dos problemas de denegación de servicio en Oracle9iAS Web Cache


Se han detectado dos problemas de denegación de servicio en Oracle Web
Cache, uno de los componentes la suite Oracle Application Server.

Oracle Web Cache es una parte de la suite Oracle Application Server. El Web Cache server está diseñado para ser implementado delante de Oracle
Web server y actuar como cache de servidor de proxy inverso.





Existen dos ataques diferentes de denegación de servicio, que podrá
provocar la caída del servicio Web Cache. Las condiciones de
denegación de servicio pueden explotarse mediante simples peticiones
HTTP al servicio Web Cache.

La primera de las denegaciones de servicio se produce al efectuar una
petición HTTP GET que contenga al menos un punto-punto-barra en la
URI:

GET /../ HTTP/1.0
Host: whatever
[CRLF]
[CRLF]

La segunda de las denegaciones se produce al efectuar una petición GET
mal construida:

GET / HTTP/1.0
Host: whatever
Transfer-Encoding: chunked
[CRLF]
[CRLF]

Oracle no va a publicar ningún parche para evitar este problema.

Se recomienda emplear técnicas de firewall para restringir el acceso
al puerto de administración de Web Cache.
Usar la característica "Secure Subnets" de la herramienta Web Cache
Manager para proporcionar acceso únicamente a los administradores
desde una lista de direcciones IP o subredes permitidas.

Más información:

Oracle9iAS Web Cache Denial of Service
http://www.atstake.com/research/advisories/2002/a102802-1.txt

Oracle9i Application Server - Web Cache Administration Tool Crash on
Malformed Request
http://otn.oracle.com/deploy/security/pdf/2002alert43rev1.pdf



Fuente:Hispasec

Otras noticias de interés:

Vulnerabilidad en pila TCP afecta a Windows y Linux
Han sido reportadas como vulnerables a ataques de denegación de servicio (DoS), implementaciones de la pila de protocolos TCP proporcionadas por múltiples vendedores....
Microsoft, ¿No quedamos en dejar de utilizar MD5? (I)
Cesar Cerrudo ha presentado un método que podría ser usado para elevar privilegios en Windows de forma relativamente sencilla. Solo es necesario realizar un ataque second-preimage. O sea, A partir de un fichero de sistema, crear otro con un mis...
Firefox, contra los ataques XSS
La Fundación Mozilla está preparándose para adoptar un nuevo estándar que ayudará a evitar ataques Cross Site Scripting (XSS) en su sitio web. El estándar, denominado Content Security Policy, podría ser la solución a estos ataques, y permite ...
Contramedidas prácticas para las últimas vulnerabilidades de Microsoft
Desde estas líneas hemos advertido ya en muchas ocasiones sobre las nuevas tendencias del malware y la cada vez más preocupante aparición de vulnerabilidades 0 day o problemas de seguridad para los que no existe parche pero sí forma de apr...
CopyLeft ampara al software libre
Un tribunal federal de apelaciones en Estados Unidos de Norteamérica falló a favor de Robert Jacobsen, indicando que incluso los diseñadores de software que difunden gratuitamente los códigos de sus creaciones pueden iniciar demandas por violaci...
IA para detectar cyberbullying en Twitter
El cyberbulling (o ciber acoso) es una actividad que utiliza la tecnología e Internet para dañar y acosar a un individuo o grupo, basado en difamaciones, creación de perfiles falsos en redes sociales, atentados contra la reputación de una persona...
No rompan Internet. No al SOPA
Stanford Law Review es una publicación de reconocido prestigio entre abogados en los EE. UU. Hoy publicó el artículo Don’t Break the Internet escrito por Mark Lemley, David S. Levine, y David G. Post., de las universidades de Stanford, Elon y Te...
CREAR NUESTRO PROPIO SERVIDOR DE INTERNET CON LINUX REDHAT
El propósito de este tutorial, es mostrar todos los pasos para montar nuestro propio servidor de Internet con una línea ADSL. http://www.lawebdelprogramador.com/temas/instservlinux80.php...
Symantec: Alerta sobre apps con malware en Android
Los cibercriminales están distribuyendo varias aplicaciones que están infectadas con Android.Counterclank, un nuevo malware que se basa en una amenaza identificada anteriormente. Se trata de un troyano que roba datos. En total se han distribuido 13...
Empresas no evalúan a sus departamentos de sistemas
Un estudio de Nexica revela que el 62% de las compañías no cuenta con evaluaciones formales para analizar el funcionamiento de sus Sistemas de Información. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • cache
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • denegacion
  • dos
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • ias
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • oracle
  • pgp
  • php
  • problemas
  • sabayon
  • seguridad
  • servicio
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra