Érintett rendszerek
ApplicationsE-Business Suite
Oracle
Érintett verziók
Oracle E-Business Suite 11i, 11.5.1 - 11.5.8
Oracle Applications 11.0
Összefoglaló
Távoli támadók kártékony kódot futtathatnak le az Oracle’s E-Business Suite biztonsági résein keresztül. Ez nemcsak magát az adatbázist és annak integritását veszélyezteti, hanem az egész operációs rendszert veszélybe sodorhatja.
Leírás
Egy távoli támadó kihasználhatja a sérülékenységet tetszőleges SQL parancs lefuttatására az Oracle server eljárás jogosultságával. Ez az adatbázis sértetlenségén kívül az adatbázis alkalmazást és az operációs rendszert is veszélyeztetheti.
A sebezhetőségek egyszerűen, egy böngészővel a webszervernek küldött, különlegesen kialakított URL segítségével használhatók ki.
Az Oracle E-Business Suite egyik azonosítási mechanizmusa sem akadályozza meg a sérülékenység kihasználását.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
US-CERT 961579
Egyéb referencia: www.integrigy.com
SECUNIA 11787
CVE-2004-0543 - NVD CVE-2004-0543