Dos problemas de denegación de servicio en Oracle9iAS Web Cache


Se han detectado dos problemas de denegación de servicio en Oracle Web
Cache, uno de los componentes la suite Oracle Application Server.

Oracle Web Cache es una parte de la suite Oracle Application Server. El Web Cache server está diseñado para ser implementado delante de Oracle
Web server y actuar como cache de servidor de proxy inverso.





Existen dos ataques diferentes de denegación de servicio, que podrá
provocar la caída del servicio Web Cache. Las condiciones de
denegación de servicio pueden explotarse mediante simples peticiones
HTTP al servicio Web Cache.

La primera de las denegaciones de servicio se produce al efectuar una
petición HTTP GET que contenga al menos un punto-punto-barra en la
URI:

GET /../ HTTP/1.0
Host: whatever
[CRLF]
[CRLF]

La segunda de las denegaciones se produce al efectuar una petición GET
mal construida:

GET / HTTP/1.0
Host: whatever
Transfer-Encoding: chunked
[CRLF]
[CRLF]

Oracle no va a publicar ningún parche para evitar este problema.

Se recomienda emplear técnicas de firewall para restringir el acceso
al puerto de administración de Web Cache.
Usar la característica "Secure Subnets" de la herramienta Web Cache
Manager para proporcionar acceso únicamente a los administradores
desde una lista de direcciones IP o subredes permitidas.

Más información:

Oracle9iAS Web Cache Denial of Service
http://www.atstake.com/research/advisories/2002/a102802-1.txt

Oracle9i Application Server - Web Cache Administration Tool Crash on
Malformed Request
http://otn.oracle.com/deploy/security/pdf/2002alert43rev1.pdf



Fuente:Hispasec

Otras noticias de interés:

Carta al Diputado Luis Tascón aclarándole importantes malentendidos sobre la Ley de Infogobierno
Estimado Diputado Luis Tascón, En primer lugar, quiero agradecerle sobremanera la novedad de haber permitido que la redacción de la Ley de Tecnologías de Información, o Ley de Infogobierno, haya sido abierta a todos los sectores del p...
Virtual Private Networks (VPN)
Sencilla monografía que explica como trabaja una VPN. Necesidades y surgimiento de las VPNs Estructura de las VPNs Protocolos utilizados en las VPNs Configuración de protocolos Configuración de una VPN bajo L...
Cloud computing llegará a ser más importante que Internet
La informática en la nube alcanzará a Internet en importancia en la medida en que la Web continúe con su desarrollo, según Mike Nelson, profesor de la Universidad de Georgetown. ...
Ciberdelincuentes ponen atención al protocolo IPv6
Expertos están viendo como el cambio al protocolo IPv6, que ofrece la conocida autoconfiguración stateless, ha aumentado el riesgo de las webs a ser el blanco de los cibercriminales....
Proveedores de correo electrónico y conservación de datos
Después del debate sobre la política de retención de datos de Google y sobre la consideración de las direcciones IP como dato de carácter personal, y visto el avance que ya nos había dado la AEPD, parece que ya está próxima la publicación de...
Nuevos estándares para la evaluación de riesgos
La automatización se ha apoderado de diversos aspectos dentro de las empresas modernas; esta tendencia no solo apunta hacia las áreas operativas, sino que además se filtra a los departamentos administrativos y organizativos, impulsando la aparici...
Google Chrome 17 disponible
Pocas horas después de la presentación oficial de Google Chrome para Android, los de Mountain View, han liberado una nueva versión estable del navegador para el escritorio, llegando de esta manera a Google Chrome 17....
Entrevista con los creadores de Mpack: Somos como los fabricantes de munición
SecurityFocus publica una interesante entrevista con uno de los creadores de Mpack. Mpack es una infraestructura PHP creada para automatizar y centralizar ataques web. Genera exploits que, alojados en servidores web comprometidos, infecta a qui...
Vulnerabilidad en QuickTime mediante Java
QuickTime es propenso a una vulnerabilidad que puede facilitar un ataque remoto a un equipo vulnerable. ...
Oracle emitirá el próximo martes 24 parches de seguridad
Oracle lanzará el próximo martes una actualización de seguridad que incluirá 24 parches para cubrir vulnerabilidades en sus productos de base de datos y servidor de aplicaciones, entre otros. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • cache
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • denegacion
  • dos
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • ias
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • oracle
  • pgp
  • php
  • problemas
  • sabayon
  • seguridad
  • servicio
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra