Date de Publication: 2003-04-11
 K-Otik ID : 0010
 Titre: Oracle E-Business Suite RRA/FNDFS Vulnerability
 Class: Design Error
 Exploitable à distance : Oui
 Exploitable en local : Non

 
  * Description Technique *
 
Le programme "Review Report Agent" connu aussi sous FND File Server (FNDFS) d'oracle, peut être employé pour rechercher à distance n'importe quel dossier d'un serveur sans authentification, en spoofant des requêtes ce qui permet l'accès à des application ou à des fichiers systèmes.
Il existe une faiblesse dans le protocole de transmissions utilisé par les applications FNDFS, ce dernier est utilisé par Report Viewer (FNDWRR.exe) et ADI Request Center pour acheminer des rapports et des logs à partir du Concurrent Manager Server


  * Versions Vulnérables *
 
Produits : Oracle E-Business Suite
Versions : 10.7, 11.0 et 11.5.1 - 11.5.8
Plateformes : Toutes.


  * Solution *
 
Utiliser les patchs http://metalink.oracle.com, et filtrer le protocole SQL*Net

  * Crédits *

Integrigy Corporation