Oracle termékek számos sérülékenysége

CH azonosító

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Oracle Database Server 8.1.7.4, 9.0.1.4, 9.0.1.5, 9.0.4 (9.0.1.5 FIPS), 9.2.0.5, 9.2.0.6
Oracle Database 10.1.0.2 - 10.1.0.3.1, 10.1.0.4, 10.1.0.3.1
Oracle Enterprise Manager Grid Control 10.1.0.2, 10.1.0.3
Oracle Enterprise Manager 9.0.4.0, 9.0.4.1
Oracle Application Server 1.0.2.2, 9.0.2.3, 9.0.3.1, 9.0.4.0, 9.0.4.1, 10.1.2
PeopleSoft EnterpriseOne Applications 8.9 SP2, 8.93
Oracle Collaboration Suite 9.0.4.0, 9.0.4.1
PeopleSoft OneWorldXe/ERP8 Applications SP22
Oracle E-Business Suite 11.0, 11.5.0 - 11.5.10

Összefoglaló

Egyes Oracle termékeket és komponenseket számos sérülékenység érint. A sérülékenységeket kihasználva hitelesítés nélküli, távoli kód futtatás, információ felfedés és szolgáltatás megtagadás előidézése lehetséges.

Leírás

Oracle kiadott egy kritikus frissítést (Critical Patch Update) áprilisra ami több mint hetven sérülékenységet javít ki különböző Oracle termékekben és komponensekben. A kritikus frissítés tartalmazza a sérülékenységek részleteit, hatásait és az érintett komponenseket.

A sérülékenységek hatása a termékektől és komponensektől függ. A lehetséges következmények tetszőleges távoli kód futtatása, információk felfedése és szolgáltatás megtagadás. Egy Oracle adatbázishoz hozzáférő támadó kényes információkhoz is hozzájuthat.

Az Oracle HTTP Server az Apache HTTP Serveren alapszik. Oracle állítása szerint a kritikus frissítés kijavít számos nyilvános Apache sérülékenységet is. Az Oracle Database klienseket nem érintik a sérülékenységek.

Megoldás

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Gyártói referencia: www.oracle.com
Egyéb referencia: www.red-database-security.com
Gyártói referencia: www.oracle.com
US-CERT 948486
US-CERT 982109