Érintett rendszerek
Application ServerCollaboration Suite
Database
E-Business Suite
Enterprise Manager Grid Control
EnterpriseOne Tools
JD Edwards
OneWorld Tools
Oracle
PeopleSoft
PeopleSoft Enterprise Portal Solutions
Érintett verziók
Oracle Application Server 9.0.4.1, 9.0.4.2, 10.1.2.0.0, 10.1.2.0.1, 10.1.2.0.2, 10.1.2.1.0
Oracle Database 8.1.7.4, 9.2.0.6, 9.2.0.7, 10.1.0.3 - 10.1.0.5, 10.2.0.1
Oracle E-Business Suite 11.0, 11.5.1 - 11.5.10 CU2
Oracle Enterprise Manager Grid Control 10.1.0.3, 10.1.0.4
Oracle Collaboration Suite 9.0.4.2, 10.1.1, 10.1.2
JD Edwards OneWorld Tools 8.95.F1, SP23_L1
JD Edwards EnterpriseOne Tools 8.95.F1, SP23_L1
PeopleSoft Enterprise Portal Solutions 8.4, 8.8, 8.9
Összefoglaló
Többféle sérülékenység is érinti a különböző Oracle termékeket és komponenseiket. Ezeknek a sérülékenységeknek a hatása lehet tetszőleges kód futtatás távolról, információ felfedés és szolgáltatás megtagadás.
Leírás
Többféle sérülékenység is érinti a különböző Oracle termékeket és komponenseiket. Ezeknek a sérülékenységeknek a hatása lehet tetszőleges kód futtatás távolról, információ felfedés és szolgáltatás megtagadás.
- Egy beazonosítatlan Oracle kliens segédprogram puffer túlcsordulásos hibáját kihasználva támadók tetszőleges kódot futtathatnak vagy szolgáltatás megtagadást okozhatnak.
- Az Oracle Database Data Pump Metadata API SQL befecskendezéses sebezhetőségét jelentették, amit kihasználva, támadók tetszőleges SQL parancsokat hajthatnak végre az érintett Oracle rendszeren.
- Az Oracle Database SYS.DBMS_METADATA_UTIL csomag SQL befecskendezéses sebezhetőségét jelentették.
- Az Oracle Database XML Database (XML DB) SQL befecskendezéses sebezhetőségét jelentették, amit kihasználva, támadók tetszőleges SQL parancsokat hajthatnak végre az érintett Oracle rendszeren.
- Az Oracle hibás nézet kezelését kihasználva támadók módosíthatják az adatbázis adatait.
- Az Oracle Text SQL befecskendezéses sebezhetőségét jelentették, amit kihasználva, támadók tetszőleges SQL parancsokat hajthatnak végre az érintett Oracle rendszeren.
- Az Oracle Transparent Data Encryption mester titkosító kulcsát szöveges formátumban tárolják, amit kihasználva, támadók olvashatják az adatbázisban tárolt titkos adatokat.
- Az Oracle TNS protokoll hitelesítési folyamata nem kellően tisztítja meg a hitelesítési kérelmeket, amit kihasználva, támadók tetszőleges SQL parancsokat hajthatnak végre emelt szintű jogosultsággal.
- Az Oracle Reports nem ellenőrzi megfelelően az URI paramétereket, amit kihasználva, támadók tetszőleges fájlokat olvashatnak és írhatnak fölül a Reports szerveren.
- Az Oracle Net Listener beazonosítatlan hibáját kihasználva távoli támadók adatokat olvashatnak és módosíthatnak, és szolgáltatás megtagadást okozhatnak.
Az Oracle szerint, három olyan sérülékenységet javítottak ki a 2006. januári Oracle Critical Patch Update-ben, amely csak az Oracle Database Client installációkat érinti.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Deny of service (Szolgáltatás megtagadás)Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Other (Egyéb)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.oracle.com
Egyéb referencia: www.kb.cert.org
