Oracle termékek többszörös sérülékenysége

CH azonosító

CH-47

Felfedezés dátuma

2006.01.17.

Súlyosság

Kritikus

Érintett rendszerek

Application Server
Collaboration Suite
Database
E-Business Suite
Enterprise Manager Grid Control
EnterpriseOne Tools
JD Edwards
OneWorld Tools
Oracle
PeopleSoft
PeopleSoft Enterprise Portal Solutions

Érintett verziók

Oracle Application Server 9.0.4.1, 9.0.4.2, 10.1.2.0.0, 10.1.2.0.1, 10.1.2.0.2, 10.1.2.1.0
Oracle Database 8.1.7.4, 9.2.0.6, 9.2.0.7, 10.1.0.3 - 10.1.0.5, 10.2.0.1
Oracle E-Business Suite 11.0, 11.5.1 - 11.5.10 CU2
Oracle Enterprise Manager Grid Control 10.1.0.3, 10.1.0.4
Oracle Collaboration Suite 9.0.4.2, 10.1.1, 10.1.2
JD Edwards OneWorld Tools 8.95.F1, SP23_L1
JD Edwards EnterpriseOne Tools 8.95.F1, SP23_L1
PeopleSoft Enterprise Portal Solutions 8.4, 8.8, 8.9

Összefoglaló

Többféle sérülékenység is érinti a különböző Oracle termékeket és komponenseiket. Ezeknek a sérülékenységeknek a hatása lehet tetszőleges kód futtatás távolról, információ felfedés és szolgáltatás megtagadás.

Leírás

Többféle sérülékenység is érinti a különböző Oracle termékeket és komponenseiket. Ezeknek a sérülékenységeknek a hatása lehet tetszőleges kód futtatás távolról, információ felfedés és szolgáltatás megtagadás.

  1. Egy beazonosítatlan Oracle kliens segédprogram puffer túlcsordulásos hibáját kihasználva támadók tetszőleges kódot futtathatnak vagy szolgáltatás megtagadást okozhatnak.
  2. Az Oracle Database Data Pump Metadata API SQL befecskendezéses sebezhetőségét jelentették, amit kihasználva, támadók tetszőleges SQL parancsokat hajthatnak végre az érintett Oracle rendszeren.
  3. Az Oracle Database SYS.DBMS_METADATA_UTIL csomag SQL befecskendezéses sebezhetőségét jelentették.
  4. Az Oracle Database XML Database (XML DB) SQL befecskendezéses sebezhetőségét jelentették, amit kihasználva, támadók tetszőleges SQL parancsokat hajthatnak végre az érintett Oracle rendszeren.
  5. Az Oracle hibás nézet kezelését kihasználva támadók módosíthatják az adatbázis adatait.
  6. Az Oracle Text SQL befecskendezéses sebezhetőségét jelentették, amit kihasználva, támadók tetszőleges SQL parancsokat hajthatnak végre az érintett Oracle rendszeren.
  7. Az Oracle Transparent Data Encryption mester titkosító kulcsát szöveges formátumban tárolják, amit kihasználva, támadók olvashatják az adatbázisban tárolt titkos adatokat.
  8. Az Oracle TNS protokoll hitelesítési folyamata nem kellően tisztítja meg a hitelesítési kérelmeket, amit kihasználva, támadók tetszőleges SQL parancsokat hajthatnak végre emelt szintű jogosultsággal.
  9. Az Oracle Reports nem ellenőrzi megfelelően az URI paramétereket, amit kihasználva, támadók tetszőleges fájlokat olvashatnak és írhatnak fölül a Reports szerveren.
  10. Az Oracle Net Listener beazonosítatlan hibáját kihasználva távoli támadók adatokat olvashatnak és módosíthatnak, és szolgáltatás megtagadást okozhatnak.

Az Oracle szerint, három olyan sérülékenységet javítottak ki a 2006. januári Oracle Critical Patch Update-ben, amely csak az Oracle Database Client installációkat érinti.

Megoldás

Telepítse a javítócsomagokat