Érintett rendszerek
Application ServerCollaboration Suite
Developer Suite
E-Business Suite
Enterprise Manager Application Server Control
Enterprise Manager Database Control
Enterprise Manager Grid Control
Express Server
Forms and Reports
JInitiator
Oracle
Workflow
Érintett verziók
Oracle Application Server 1.0.2.2, 9.0.2.3, 9.0.3.1, 9.0.4.0, 9.0.4.1
Oracle Enterprise Manager Grid Control 10.1.0.2, 10.1.0.3
Oracle Developer Suite 9.0.2.3-10.1.2
Oracle Enterprise Manager Application Server Control 9.0.4.0, 9.0.4.1
Oracle Collaboration Suite 9.0.4.1, 9.0.4.2
Oracle Enterprise Manager Database Control 10.1.0.2 - 10.1.0.4
Oracle E-Business Suite 11.0, 11.5.1 - 11.5.10
Oracle Forms and Reports 4.5.10.22, 6.0.8.25
Oracle JInitiator 1.1.8, 1.3.1
Oracle Workflow 11.5.1 - 11.5.9.5
Oracle Express Server 6.3.4.0
Összefoglaló
Több Oracle termék biztonsági gyengesége került napvilágra. E sérülékenységeket kihasználva távoli támadók kártékony kódot futtathatnak le, aminek következtében információ kerülhet illetéktelen kezekbe sőt szolgáltatás megtagadásos támadásra is sor kerülhet.
Leírás
Több Oracle termék biztonsági gyengesége került napvilágra. E sérülékenységeket kihasználva távoili támadók kártékony kódot futtathatnak le, aminek következtében információ kerülhet illetéktelen kezekbe sőt szolgáltatás megtagadásos támadásra is sor kerülhet. A nyilvános jelentésekben nem biztonságos jelszavakhoz, ideiglenes fájlok kezeléséhez és az SQL befecskendezésekhez kapcsolódó sérülékenységeket írnak le.
Az Oracle HTTP Server az Apache HTTP Serveren alapul. Több Oracle termék tartalmazza a Sun Microsystems Java komponensét. Az Oracle szerint a a 2005. júliusi frissítése javítja a korábban feltárt Apache és Java sérülékenységeket is. Az Oracle megjegyzése szerint az Oracle adatbázis kizárólag kliens oldali installációit nem érintik a 2005. júliusi frissítésben felsorolt sérülékenységek.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Deny of service (Szolgáltatás megtagadás)Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.red-database-security.com
Gyártói referencia: www.oracle.com
Egyéb referencia: www.red-database-security.com
US-CERT 613562
Egyéb referencia: www.red-database-security.com
CAN-2004-1029 - NVD CAN-2004-1029
Gyártói referencia: www.oracle.com
Egyéb referencia: www.red-database-security.com
CAN-2004-0700 - NVD CAN-2004-0700
CAN-2003-0993 - NVD CAN-2003-0993