Oracle emitió un parche de emergencia para cubrir una vulnerabilidad en sus servidores de aplicación HTTP basados en Apache 2.0 y 2.2.

 

La vulnerabilidad cubierta por Oracle con este parche podría ser explotada por los atacantes sin necesidad de contraseña o nombre de usuario, según informó la compañía en una alerta de seguridad.

 

La base de datos National Vulnerability Database del gobierno estadounidense ha asignado a la falla un valor de 7.8 dentro de la escala CVSS (Common Vulnerability Scoring System), lo que indica que puede ocasionar una completa denegación de servicio a nivel de sistema operativo.

 

Sin embargo, según Oracle, “una denegación de servicio de sistema operativo es imposible sobre cualquier plataforma soportada por Oracle y, por tanto, damos a la vulnerabilidad un valor CVSS Base Score de 5.0”, lo que supone que puede producirse una completa denegación de servicio de Oracle HTTP Server, pero no de sistema operativo.

 

Los productos afectados incluyen Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.3.0, 11.1.1.4.0 y 11.1.1.5.0; Oracle Application Server 10g Release 3, versión 10.1.3.5.0; y Oracle Application Server 10g Release 2, versión 10.1.2.3.0.