Oracle termékek számos sérülékenysége


2005. április 26. 22:00

CH azonosító

CH-30

Felfedezés dátuma

2005.04.26.

Súlyosság

Kritikus

Érintett rendszerek

Application Server
Collaboration Suite
Database
Database Server
E-Business Suite
Enterprise Manager
Enterprise Manager Grid Control
OneWorldXe/ERP8 Applications
Oracle
PeopleSoft
PeopleSoft EnterpriseOne Applications

Érintett verziók

Oracle Database Server 8.1.7.4, 9.0.1.4, 9.0.1.5, 9.0.4 (9.0.1.5 FIPS), 9.2.0.5, 9.2.0.6
Oracle Database 10.1.0.2 - 10.1.0.3.1, 10.1.0.4, 10.1.0.3.1
Oracle Enterprise Manager Grid Control 10.1.0.2, 10.1.0.3
Oracle Enterprise Manager 9.0.4.0, 9.0.4.1
Oracle Application Server 1.0.2.2, 9.0.2.3, 9.0.3.1, 9.0.4.0, 9.0.4.1, 10.1.2
PeopleSoft EnterpriseOne Applications 8.9 SP2, 8.93
Oracle Collaboration Suite 9.0.4.0, 9.0.4.1
PeopleSoft OneWorldXe/ERP8 Applications SP22
Oracle E-Business Suite 11.0, 11.5.0 - 11.5.10

Összefoglaló

Egyes Oracle termékeket és komponenseket számos sérülékenység érint. A sérülékenységeket kihasználva hitelesítés nélküli, távoli kód futtatás, információ felfedés és szolgáltatás megtagadás előidézése lehetséges.

Leírás

Oracle kiadott egy kritikus frissítést (Critical Patch Update) áprilisra ami több mint hetven sérülékenységet javít ki különböző Oracle termékekben és komponensekben. A kritikus frissítés tartalmazza a sérülékenységek részleteit, hatásait és az érintett komponenseket.

A sérülékenységek hatása a termékektől és komponensektől függ. A lehetséges következmények tetszőleges távoli kód futtatása, információk felfedése és szolgáltatás megtagadás. Egy Oracle adatbázishoz hozzáférő támadó kényes információkhoz is hozzájuthat.

Az Oracle HTTP Server az Apache HTTP Serveren alapszik. Oracle állítása szerint a kritikus frissítés kijavít számos nyilvános Apache sérülékenységet is. Az Oracle Database klienseket nem érintik a sérülékenységek.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.oracle.com
Egyéb referencia: www.red-database-security.com
Gyártói referencia: www.oracle.com
US-CERT 948486
US-CERT 982109

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-30066 – tj-actions/changed-files GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-24472 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2017-12637 – SAP NetWeaver Directory Traversal sebezhetősége
CVE-2024-48248 – NAKIVO Backup and Replication Absolute Path Traversal sebezhetősége
CVE-2025-1316 – Edimax IC-7100 IP Camera OS Command Injection sebezhetősége
Tovább a sérülékenységekhez »