Oracle Application Server vulnerável a SQL Injection.

Foi descoberta uma vulnerabilidade no servidor de aplicações do Oracle9i que pode ser explorada por intrusos para adquirir informação sensível...A vulnerabilidade deve-se à falta de uma correta validação na entrada de um componente Portal quando a informação for proporcionada pelo utilizador nas tabelas de dicionário de dados.

Isto pode ser explorado mediante técnicas de injeção de SQL para adquirir informação sobre dados de utilizadores.

As versões afectadas são o Oracle9i Application Server Portal Release 1, V3.0.9.8.5 (e anteriores), e a V9.0.2.3.0 (e anteriores) do Release 2. As versões 9.0.2.6 e posteriores não são vulneráveis a este ataque.

Já foram publicadas correções paras as versões vulneráveis anteriormente mencionadas no seguinte endereço:
http://metalink.oracle.com

Recomenda-se aos administradores que verifiquem se os seus sistemas estão vulneráveis, procedendo com as atualizações conforme orientação do fabricante com a maior urgencia.

Mais informações:
SQL Injection Vulnerability in Oracle9i Application Server

Oracle9i Application Server Portal Component SQL Injection Vulnerability

Fonte: XSecurity