Se ha descubierto una vulnerabilidad en el servidor de aplicaciones de Oracle9i que puede ser explotada por usuarios maliciosos para adquirir información sensible.

El Application Server es un producto de Oracle hace de capa intermedia y da, entre otros servicios, los medios para la creación rápida de webs dinámicas, crear portales configurables, integrar servicios inalámbricos, extraer 'business intelligence', etc.

La vulnerabilidad se debe a la falta de validación correcta de una entrada en el componente Portal cuando se da la información proporcionada por el usuario a las tablas de diccionarios de datos. Esto puede ser explotado mediante técnicas de inyección SQL para adquirir información sobre datos de usuarios.

Las versiones afectadas son Oracle9i Application Server Portal Release 1, v3.0.9.8.5 (y anteriores), y la v9.0.2.3.0 (y anteriores) del Release 2. Las versiones 9.0.2.6 y posteriores no son vulnerables a este ataque.
Se han publicado parches de actualización para las versiones vulnerables anteriormente nombradas (Oracle recomienda encarecidamente su aplicación a la mayor brevedad posible), y están disponibles en la siguiente dirección: http://metalink.oracle.com