Oracle Enterprise Manager Grid Control sérülékenységek

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Oracle Enterprise Manager 10.x, 11.x

Összefoglaló

Az Oracle Enterprise Manager számos sérülékenységét jelentették, amelyeket rosszindulatú helyi felhasználók és a támadók kihasználhatnak érzékeny információk közzétételére, bizonyos adatok megváltoztatására, valamint a támadók szolgáltatás megtagadást (Denial of Service – DoS) okozhatnak.

Leírás

1. A Content Management komponens Scheduler alkomponensének meghatározatlan hibája kihasználható bizonyos információk közzétételére, egyes adatok megváltoztatására, valamint szolgáltatás megtagadás (DoS – Denial of Service) okozására, speciálisan erre a célra elkészített HTTP kérésekkel.
2. A Database Control komponens részletesen nem ismertetett hibája kihasználható bizonyos információk felfedésére, egyes adatok megváltoztatására, valamint szolgáltatás megtagadás okozására speciálisan erre a célra elkészített HTTP kérésekkel.
3. A Database Target Type Menus komponens részletesen nem ismertetett hibája kihasználható bizonyos információk felfedésére, egyes adatok megváltoztatására, valamint szolgáltatás megtagadás (DoS – Denial of Service) okozására speciálisan erre a célra elkészített HTTP kérésekkel.
4. Az SQL Performance Advisories/UIs komponens SQL Details UI & Explain Plan alkomponensének részletesen nem ismertetett hibája kihasználható bizonyos információk felfedésére, egyes adatok megváltoztatására, valamint szolgáltatás megtagadás (DoS – Denial of Service) okozására speciálisan erre a célra elkészített HTTP kérésekkel.
5. A Schema Management komponens részletesen nem ismertetett hibája kihasználható bizonyos információk felfedésére, egyes adatok megváltoztatására, valamint szolgáltatás megtagadás (DoS – Denial of Service) okozására speciálisan erre a célra elkészített HTTP kérésekkel.
6. Az Security Framework komponens SQL User Model alkomponensének részletesen nem ismertetett hibája kihasználható bizonyos információk felfedésére, egyes adatok megváltoztatására, valamint szolgáltatás megtagadás (DoS – Denial of Service) okozására speciálisan erre a célra elkészített HTTP kérésekkel.
7. A Security Management komponens Audit Administration alkomponensének meghatározatlan hibája kihasználható bizonyos információk közzétételére, egyes adatok megváltoztatására, valamint szolgáltatás megtagadás (DoS – Denial of Service) okozására speciálisan erre a célra elkészített HTTP kérésekkel.
8. A Streams, AQ & Replication Mgmt komponens részletesen nem ismertetett hibája kihasználható bizonyos információk felfedésére, egyes adatok megváltoztatására, valamint szolgáltatás megtagadás (DoS – Denial of Service) okozására speciálisan erre a célra elkészített HTTP kérésekkel.
9. A Security Framework komponens Authentication alkomponensének meghatározatlan hibája kihasználható bizonyos információk közzétételére, egyes adatok megváltoztatására, speciálisan erre a célra elkészített HTTP kérésekkel.
10. A CMDB Metadata & Instance APIs komponens részletesen nem ismertetett hibáját a hitelesített felhasználók kihasználhatják bizonyos információk felfedésére és egyes adatok megváltoztatására.
11. A EMCTL komponens részletesen nem ismertetett hibáját a hitelesített felhasználók  kihasználhatják bizonyos információk felfedésére és egyes adatok megváltoztatására, speciálisan erre a célra elkészített HTTP kérésekkel.
12. Az Enterprise Config Management komponens részletesen nem ismertetett hibáját a hitelesített felhasználók kihasználhatják bizonyos információk felfedésére és egyes adatok megváltoztatására.
13. Az Enterprise Config Management komponens egy másik meghatározatlan hibáját helyi felhasználók kihasználhatják a helyi fájl rendszerben tetszőleges fájl tartalmának közzétételére.
14. Az EMCTL komponens egy másik meghatározatlan hibája kihasználható bizonyos adatok módosítására, speciálisan erre a célra elkészített HTTP kérésekkel.
15. Az Enterprise Manager Console komponens Security alkomponensének nem részletezett hibája kihasználható bizonyos adatok módosítására, speciálisan erre a célra elkészített HTTP kérésekkel.
16. Az Event Management komponens Rules Management UI alkomponensének nem részletezett hibája kihasználható bizonyos adatok módosítására, speciálisan erre a célra elkészített HTTP kérésekkel.
17. Az Instance Management komponens részletesen nem ismertetett hibája kihasználható bizonyos adatok módosítására, speciálisan erre a célra elkészített HTTP kérésekkel.
18. Az Instance Management komponens egy másik részletesen nem ismertetett hibája kihasználható bizonyos adatok módosítására, speciálisan erre a célra elkészített HTTP kérésekkel.

Megoldás

Támadás típusa

Szükséges hozzáférés

Hivatkozások

Gyártói referencia: www.oracle.com
SECUNIA 45275
CVE-2011-0811 - NVD CVE-2011-0811
CVE-2011-0816 - NVD CVE-2011-0816
CVE-2011-0822 - NVD CVE-2011-0822
CVE-2011-0830 - NVD CVE-2011-0830
CVE-2011-0831 - NVD CVE-2011-0831
CVE-2011-0845 - NVD CVE-2011-0845
CVE-2011-0848 - NVD CVE-2011-0848
CVE-2011-0852 - NVD CVE-2011-0852
CVE-2011-0870 - NVD CVE-2011-0870
CVE-2011-0875 - NVD CVE-2011-0875
CVE-2011-0876 - NVD CVE-2011-0876
CVE-2011-0877 - NVD CVE-2011-0877
CVE-2011-0879 - NVD CVE-2011-0879
CVE-2011-0881 - NVD CVE-2011-0881
CVE-2011-0882 - NVD CVE-2011-0882
CVE-2011-2244 - NVD CVE-2011-2244
CVE-2011-2248 - NVD CVE-2011-2248
CVE-2011-2257 - NVD CVE-2011-2257