Fusion Middleware

Die Schwachstelle betrifft die Komponente Oracle Reports Developer innerhalb von Oracle Fusion Middleware, genauer den Report-Server-Bestandteil. Es handelt sich um eine nicht näher spezifizierte Lücke, deren genaue technische Ursache vom Hersteller offengelassen wurde. Ausnutzen lässt sie sich aus der Ferne: Ein Angreifer kann über bislang nicht öffentlich beschriebene Wege die Vertraulichkeit und die Integrität des betroffenen Systems beeinträchtigen – also vertrauliche Inhalte einsehen und Daten verändern. Nach Angaben des ursprünglichen Forschers lässt sich über eine Parameter-Funktion des Report-Servers das Lesen und Hochladen beliebiger Dateien auf den Server erreichen; Oracle hat sich zu dieser Darstellung nicht geäußert. Betroffen sind Installationen, bei denen der Reports-Dienst über das Web erreichbar ist. Da ein solcher Berichtsserver häufig zentral im Unternehmen betrieben wird und Zugriff auf interne Datenquellen hat, ist er ein attraktives Ziel für Angreifer, die unbefugt an Informationen gelangen oder Inhalte manipulieren wollen.