BDU:2014-00388: Уязвимость программной платформы Oracle Fusion Middleware, позволяющая злоумышленнику отобразить произвольные данные в контексте уязвимого приложения

Описание уязвимости Уязвимость компонента Oracle Containers для платформы J2EE программного обеспечения Oracle Fusion Middleware, связанная с ошибкой, возникающей из-за недостаточной проверки значений попадающих в HTTP заголовки. Эксплуатация данной уязвимости позволяет злоумышленнику сформировать поддельный HTTP-ответ и отобразить пользователю произвольные данные в контексте уязвимого приложения путем добавления в значение заголовка специальных CRLF символов
Вендор Oracle Corp.
Наименование ПО Fusion Middleware
Версия ПО 10.1.3.5
Тип ПО ПО виртуализации/ПО виртуального программно-аппаратного средства
Операционные системы и аппаратные платформы
  • Сообщество свободного программного обеспечения Linux . 64-bit
  • Сообщество свободного программного обеспечения Linux . 32-bit
  • Microsoft Corp. Windows . 64-bit
  • Microsoft Corp. Windows . 32-bit
  • Вендор не указан Unix . 64-bit
  • Вендор не указан Unix . 32-bit
Тип ошибки Непринятие мер по обработке последовательностей CRLF в заголовках HTTP Headers (или \"Расщепление ответа HTTP\")
Идентификатор типа ошибки CWE-113
Класс уязвимости Уязвимость кода
Дата выявления 15.04.2014
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:P/A:N
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Возможные меры по устранению уязвимости
Обновление программного обеспечения до версии 10.1.3.6 или выше
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации Данные уточняются
Способ устранения Данные уточняются
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются