Oracle公司7月24日警告说它的E-Business Suite软件存在两个严重脆弱性,有可能使攻击者在E-Business Suite服务器上运行恶意代码或查看产品配置信息。
E-Business Suite中一个叫FNDWRR的组件存在缓冲区溢出脆弱性,FNDWRR是一个CGI程序,允许用户通过Web浏览器查看Oracle报告文件和日志文件。攻击者可以用Web浏览器和精心编造的URL造成缓冲区溢出,破坏FNDWRR。
另一个安全漏洞存在于和E-Business Suite中一个叫AOL/J设置测试软件包的组件有关的Java服务器网页(JSP)中。这个设置测试软件包是E-Business Suite的Oracle应用自服务框架(OA框架)的一部分,它安装在所有Oracle 11i Web服务器和表格服务器中,用于验证OA框架的安装和配置。JSP包含多个安全脆弱性,有可能使攻击者获得用来破坏E-Business Suite的配置信息。
Oracle把这两个脆弱性定为“高风险”。Oracle提供了弥补这两个问题的软件补丁程序,强烈要求用户阅读安全通报并安装补丁程序。(完)
