15.12.2009, 08:34 Uhr

Angriff auf Oracles E-Business-Suite

Über eine Sicherheitslücke in der E-Business-Suite von Oracle können Angreifer XSS-Attacken durchführen. Ein Patch steht bereits zur Verfügung.
6308.jpg
Laut einer Meldung auf der IT-Security-Mailingliste ,,Full Disclosure" existiert eine Sicherheitslücke in der E-Business-Suite von Oracle, die Cross-Site-Scripting-Attacken erlaubt. Betroffen sind Version 10 und 11 der Anwendung. Nach ersten Informationen steht bereits ein Patch für Oracle Kunden zum Download zur Verfügung. Dieser Patch wurde bislang jedoch nicht verifiziert.
Die Sicherheitslücke wird durch den Gast-Zugriff auf die Weboberfläche der E-Business-Suite ermöglicht. Laut Oracle ist dieser Gast-Zugriff ein geplantes Feature und kein Bug. In insgesamt drei Schritten kann ein Angreifer die Konfigurationseinstellungen des Gast-Zugriffs so manipulieren, dass sich beliebiger Scriptcode in ein betroffenes E-Business-Suite-System einspeisen lässt. Durch den Angriff lässt sich beispielsweise die Session ID eines E-Business-Suite-Benutzers entwenden und für unbefugte Zugriffe einsetzen. Ein entsprechender Proof-of-Concept findet sich in der Meldung auf Full Disclosure.

Link zu diesem Artikel

Meldung von \"Full Disclosure\"
Artikel drucken
Das könnte Sie auch interessieren
Schweiz - EU
Schweiz ist erneut an Forschungsprogramm Horizon Europe assoziiert
 
vor 4 Stunden
Medien
Ständeratskommission will UKW-Radio über 2026 hinaus verlängern
 
vor 2 Tagen
Mobilität
Postauto testet in der Ostschweiz automatisiert fahrende ÖV-Taxis
 
vor 6 Tagen
Technikhandel
Social Commerce bringt Schwung in den Markt
 
vor 6 Tagen