Oracle termékek többszörös sebezhetősége


2005. július 14. 22:00

CH azonosító

CH-34

Felfedezés dátuma

2005.07.14.

Súlyosság

Magas

Érintett rendszerek

Application Server
Collaboration Suite
Developer Suite
E-Business Suite
Enterprise Manager Application Server Control
Enterprise Manager Database Control
Enterprise Manager Grid Control
Express Server
Forms and Reports
JInitiator
Oracle
Workflow

Érintett verziók

Oracle Application Server 1.0.2.2, 9.0.2.3, 9.0.3.1, 9.0.4.0, 9.0.4.1
Oracle Enterprise Manager Grid Control 10.1.0.2, 10.1.0.3
Oracle Developer Suite 9.0.2.3-10.1.2
Oracle Enterprise Manager Application Server Control 9.0.4.0, 9.0.4.1
Oracle Collaboration Suite 9.0.4.1, 9.0.4.2
Oracle Enterprise Manager Database Control 10.1.0.2 - 10.1.0.4
Oracle E-Business Suite 11.0, 11.5.1 - 11.5.10
Oracle Forms and Reports 4.5.10.22, 6.0.8.25
Oracle JInitiator 1.1.8, 1.3.1
Oracle Workflow 11.5.1 - 11.5.9.5
Oracle Express Server 6.3.4.0

Összefoglaló

Több Oracle termék biztonsági gyengesége került napvilágra. E sérülékenységeket kihasználva távoli támadók kártékony kódot futtathatnak le, aminek következtében információ kerülhet illetéktelen kezekbe sőt szolgáltatás megtagadásos támadásra is sor kerülhet.

Leírás

Több Oracle termék biztonsági gyengesége került napvilágra. E sérülékenységeket kihasználva távoili támadók kártékony kódot futtathatnak le, aminek következtében információ kerülhet illetéktelen kezekbe sőt szolgáltatás megtagadásos támadásra is sor kerülhet. A nyilvános jelentésekben nem biztonságos jelszavakhoz, ideiglenes fájlok kezeléséhez és az SQL befecskendezésekhez kapcsolódó sérülékenységeket írnak le.

Az Oracle HTTP Server az Apache HTTP Serveren alapul. Több Oracle termék tartalmazza a Sun Microsystems Java komponensét. Az Oracle szerint a a 2005. júliusi frissítése javítja a korábban feltárt Apache és Java sérülékenységeket is. Az Oracle megjegyzése szerint az Oracle adatbázis kizárólag kliens oldali installációit nem érintik a 2005. júliusi frissítésben felsorolt sérülékenységek.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.red-database-security.com
Gyártói referencia: www.oracle.com
Egyéb referencia: www.red-database-security.com
US-CERT 613562
Egyéb referencia: www.red-database-security.com
CAN-2004-1029 - NVD CAN-2004-1029
Gyártói referencia: www.oracle.com
Egyéb referencia: www.red-database-security.com
CAN-2004-0700 - NVD CAN-2004-0700
CAN-2003-0993 - NVD CAN-2003-0993

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-3928 – Commvault Web Server Unspecified sérülékenysége
CVE-2025-3248 – Langflow Missing Authentication sérülékenysége
CVE-2024-58136 – Yiiframework Yii Improper Protection of Alternate Path sérülékenysége
CVE-2025-34028 – Commvault Command Center Path Traversal sérülékenysége
CVE-2023-44221 – SonicWall SMA100 Appliances OS Command Injection sérülékenysége
CVE-2024-38475 – Apache HTTP Server Improper Escaping of Output sérülékenysége
CVE-2025-24132 – Apple AirPlay sebezhetősége
CVE-2025-31330 – SAP Landscape Transformation sebezhetősége
CVE-2025-27429 – SAP sebezhetősége
Tovább a sérülékenységekhez »