Oracle termékek többszörös sebezhetősége


2007. január 18. 23:00

CH azonosító

CH-341

Felfedezés dátuma

2007.01.18.

Súlyosság

Magas

Érintett rendszerek

Application Server
Collaboration Suite
Database
E-Business Suite
Enterprise Manager Grid Control
HTTP Server
Identity Management
Life Sciences Applications
Oracle
PeopleSoft
PeopleSoft Enterprise PeopleTools

Érintett verziók

Oracle Database 8i, 9i, 10g
Oracle Collaboration Suite
Oracle Enterprise Manager Grid Control 10g
Oracle Identity Management 10g
Oracle E-Business Suite 11.0, 11i
Oracle HTTP Server
Oracle Application Server 9i, 10g
PeopleSoft Enterprise PeopleTools
Oracle Life Sciences Applications

Összefoglaló

Az Oracle termékek több sebezhetőségét jelentették. Ezeket kihasználva támadók tetszőleges kódot futtathatnak távolról, szolgáltatás megtagadást okozhatnak, bizalmas információkhoz juthatnak hozzá vagy hamisításos támadást hajthatnak végre

Leírás

Az Oracle termékek több sebezhetőségét jelentették. Ezeket kihasználva támadók tetszőleges kódot futtathatnak távolról, szolgáltatás megtagadást okozhatnak, bizalmas információkhoz juthatnak hozzá vagy hamisításos támadást hajthatnak végre.

  1. Az Oracle collaboration suite egy hibáját kihasználva támadók szolgáltatás megtagadást okozhatnak.
  2. Az Oracle SYS.DBMS_AQ csomag nincs védve a PL/SQL befecskendezéstől. A sebezhetőséget kihasználva távoli felhasználók tetszőleges PL/SQL parancsokat futtathatnak a sebezhető Oracle rendszeren.
  3. Több X.509 tanúsítványok ellenőrzését végző alkalmazásnak is problémája lehet egyes aláírások feldolgozásakor. A sebezhetőséget kihasználva szolgáltatás megtagadás okozható.
  4. Az OpenSSL könyvtár egy függvényének puffer túlcsordulásos hibáját kihasználva távoli támadók tetszőleges kódot futtathatnak az érintett rendszeren.
  5. Az OpenSSL könyvtár egy hibáját kihasználva távoli támadók szolgáltatás megtagadást idézhetnek elő egy érintett alkalmazásnál.
  6. Az RSA aláírások kezelésének hibáját kihasználva támadók RSA aláírásokat hamisíthatnak.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Crypthographical (Titkosítás)
Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.red-database-security.com
Egyéb referencia: www.kb.cert.org
CVE-2001-0729 - NVD CVE-2001-0729
Gyártói referencia: www.oracle.com
CVE-2006-3738 - NVD CVE-2006-3738
CVE-2006-2940 - NVD CVE-2006-2940
CVE-2006-4343 - NVD CVE-2006-4343
CVE-2006-4339 - NVD CVE-2006-4339

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2024-11120 – GeoVision Devices OS Command Injection sebezhetősége
CVE-2024-6047 – GeoVision Devices OS Command Injection sebezhetősége
CVE-2025-20188 – Cisco IOS XE sérülékenysége
CVE-2025-3928 – Commvault Web Server Unspecified sérülékenysége
CVE-2025-3248 – Langflow Missing Authentication sérülékenysége
CVE-2024-58136 – Yiiframework Yii Improper Protection of Alternate Path sérülékenysége
CVE-2025-34028 – Commvault Command Center Path Traversal sérülékenysége
CVE-2023-44221 – SonicWall SMA100 Appliances OS Command Injection sérülékenysége
CVE-2024-38475 – Apache HTTP Server Improper Escaping of Output sérülékenysége
Tovább a sérülékenységekhez »