BDU:2014-00387: Уязвимость программной платформы Oracle Fusion Middleware, позволяющая злоумышленнику обратиться к произвольному сценарию вне каталога приложения

Описание уязвимости Уязвимость программного обеспечения Oracle Fusion Middleware, связанная с ошибкой, возникающей при обработке унифицированного идентификатора ресурса Request-URI. Эксплуатация данной уязвимости позволяет злоумышленнику выполнить обращение к произвольному сценарию вне каталога приложения, используя конструкции обхода каталогов операционной системы Windows
Вендор Oracle Corp.
Наименование ПО Fusion Middleware
Версия ПО 10.1.3.5
Тип ПО ПО виртуализации/ПО виртуального программно-аппаратного средства
Операционные системы и аппаратные платформы
  • Сообщество свободного программного обеспечения Linux . 64-bit
  • Сообщество свободного программного обеспечения Linux . 32-bit
  • Microsoft Corp. Windows . 64-bit
  • Microsoft Corp. Windows . 32-bit
  • Вендор не указан Unix . 64-bit
  • Вендор не указан Unix . 32-bit
Тип ошибки Непринятие мер по обработке последовательностей CRLF в заголовках HTTP Headers (или \"Расщепление ответа HTTP\")
Идентификатор типа ошибки CWE-113
Класс уязвимости Уязвимость кода
Дата выявления 15.04.2014
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:P/A:N
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Возможные меры по устранению уязвимости
Обновление программного обеспечения до версии 10.1.3.6 или выше
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации Данные уточняются
Способ устранения Данные уточняются
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются