Oracle Enterprise Manager Grid Control sérülékenységek


2011. július 20. 12:41

CH azonosító

CH-5211

Angol cím

Oracle Enterprise Manager Grid Control Multiple Vulnerabilities

Felfedezés dátuma

2011.07.19.

Súlyosság

Közepes

Érintett rendszerek

Enterprise Manager
Oracle

Érintett verziók

Oracle Enterprise Manager 10.x, 11.x

Összefoglaló

Az Oracle Enterprise Manager számos sérülékenységét jelentették, amelyeket rosszindulatú helyi felhasználók és a támadók kihasználhatnak érzékeny információk közzétételére, bizonyos adatok megváltoztatására, valamint a támadók szolgáltatás megtagadást (Denial of Service – DoS) okozhatnak.

Leírás

  1. A Content Management komponens Scheduler alkomponensének meghatározatlan hibája kihasználható bizonyos információk közzétételére, egyes adatok megváltoztatására, valamint szolgáltatás megtagadás (DoS – Denial of Service) okozására, speciálisan erre a célra elkészített HTTP kérésekkel.
  2. A Database Control komponens részletesen nem ismertetett hibája kihasználható bizonyos információk felfedésére, egyes adatok megváltoztatására, valamint szolgáltatás megtagadás okozására speciálisan erre a célra elkészített HTTP kérésekkel.
  3. A Database Target Type Menus komponens részletesen nem ismertetett hibája kihasználható bizonyos információk felfedésére, egyes adatok megváltoztatására, valamint szolgáltatás megtagadás (DoS – Denial of Service) okozására speciálisan erre a célra elkészített HTTP kérésekkel.
  4. Az SQL Performance Advisories/UIs komponens SQL Details UI & Explain Plan alkomponensének részletesen nem ismertetett hibája kihasználható bizonyos információk felfedésére, egyes adatok megváltoztatására, valamint szolgáltatás megtagadás (DoS – Denial of Service) okozására speciálisan erre a célra elkészített HTTP kérésekkel.
  5. A Schema Management komponens részletesen nem ismertetett hibája kihasználható bizonyos információk felfedésére, egyes adatok megváltoztatására, valamint szolgáltatás megtagadás (DoS – Denial of Service) okozására speciálisan erre a célra elkészített HTTP kérésekkel.
  6. Az Security Framework komponens SQL User Model alkomponensének részletesen nem ismertetett hibája kihasználható bizonyos információk felfedésére, egyes adatok megváltoztatására, valamint szolgáltatás megtagadás (DoS – Denial of Service) okozására speciálisan erre a célra elkészített HTTP kérésekkel.
  7. A Security Management komponens Audit Administration alkomponensének meghatározatlan hibája kihasználható bizonyos információk közzétételére, egyes adatok megváltoztatására, valamint szolgáltatás megtagadás (DoS – Denial of Service) okozására speciálisan erre a célra elkészített HTTP kérésekkel.
  8. A Streams, AQ & Replication Mgmt komponens részletesen nem ismertetett hibája kihasználható bizonyos információk felfedésére, egyes adatok megváltoztatására, valamint szolgáltatás megtagadás (DoS – Denial of Service) okozására speciálisan erre a célra elkészített HTTP kérésekkel.
  9. A Security Framework komponens Authentication alkomponensének meghatározatlan hibája kihasználható bizonyos információk közzétételére, egyes adatok megváltoztatására, speciálisan erre a célra elkészített HTTP kérésekkel.
  10. A CMDB Metadata & Instance APIs komponens részletesen nem ismertetett hibáját a hitelesített felhasználók kihasználhatják bizonyos információk felfedésére és egyes adatok megváltoztatására.
  11. A EMCTL komponens részletesen nem ismertetett hibáját a hitelesített felhasználók  kihasználhatják bizonyos információk felfedésére és egyes adatok megváltoztatására, speciálisan erre a célra elkészített HTTP kérésekkel.
  12. Az Enterprise Config Management komponens részletesen nem ismertetett hibáját a hitelesített felhasználók kihasználhatják bizonyos információk felfedésére és egyes adatok megváltoztatására.
  13. Az Enterprise Config Management komponens egy másik meghatározatlan hibáját helyi felhasználók kihasználhatják a helyi fájl rendszerben tetszőleges fájl tartalmának közzétételére.
  14. Az EMCTL komponens egy másik meghatározatlan hibája kihasználható bizonyos adatok módosítására, speciálisan erre a célra elkészített HTTP kérésekkel.
  15. Az Enterprise Manager Console komponens Security alkomponensének nem részletezett hibája kihasználható bizonyos adatok módosítására, speciálisan erre a célra elkészített HTTP kérésekkel.
  16. Az Event Management komponens Rules Management UI alkomponensének nem részletezett hibája kihasználható bizonyos adatok módosítására, speciálisan erre a célra elkészített HTTP kérésekkel.
  17. Az Instance Management komponens részletesen nem ismertetett hibája kihasználható bizonyos adatok módosítására, speciálisan erre a célra elkészített HTTP kérésekkel.
  18. Az Instance Management komponens egy másik részletesen nem ismertetett hibája kihasználható bizonyos adatok módosítására, speciálisan erre a célra elkészített HTTP kérésekkel.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)
Unknown (Ismeretlen)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.oracle.com
SECUNIA 45275
CVE-2011-0811 - NVD CVE-2011-0811
CVE-2011-0816 - NVD CVE-2011-0816
CVE-2011-0822 - NVD CVE-2011-0822
CVE-2011-0830 - NVD CVE-2011-0830
CVE-2011-0831 - NVD CVE-2011-0831
CVE-2011-0845 - NVD CVE-2011-0845
CVE-2011-0848 - NVD CVE-2011-0848
CVE-2011-0852 - NVD CVE-2011-0852
CVE-2011-0870 - NVD CVE-2011-0870
CVE-2011-0875 - NVD CVE-2011-0875
CVE-2011-0876 - NVD CVE-2011-0876
CVE-2011-0877 - NVD CVE-2011-0877
CVE-2011-0879 - NVD CVE-2011-0879
CVE-2011-0881 - NVD CVE-2011-0881
CVE-2011-0882 - NVD CVE-2011-0882
CVE-2011-2244 - NVD CVE-2011-2244
CVE-2011-2248 - NVD CVE-2011-2248
CVE-2011-2257 - NVD CVE-2011-2257

Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »