Множественные уязвимости в продуктах Oracle

← →
AntiUser © (2007-01-17 22:13) [0]

Программа:
Oracle Database 10g
Oracle Application Server 10g
Oracle E-Business Suite 11i
Oracle Enterprise Manager 10.x
Oracle PeopleSoft Enterprise Tools 8.x
Oracle9i Database Enterprise Edition
Oracle9i Database Standard Edition
Oracle Developer Suite 10g
Oracle9i Developer Suite
Oracle9i Application Server

Опасность: Критическая

Наличие эксплоита: Нет

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, вызвать отказ в обслуживании, получить доступ к важным данным и скомпрометировать целевую систему.

Подробности известны по следующим уязвимостям:

1. Уязвимость существует из-за ошибки проверки границ данных в ONS (Oracle Notification Service). Удаленный пользователь может послать приложению специально сформированный пакета на порт 6200/TCP, вызвать переполнение буфера и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за недостаточной обработки входных данных в Oracle XML DB. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

3. Уязвимость существует из-за недостаточной обработки входных данных в пакете DBMS_AQ_INV. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

4. Уязвимость существует из-за недостаточной обработки входных данных в EmChartBean. Удаленный пользователь может с помощью символов обхода каталога получить доступ к произвольным файлам на системе.

URL производителя: www.oracle.com

Решение: Установите исправление с сайта производителя.

http://www.securitylab.ru/vulnerability/287601.php

← →
Petr V. Abramov © (2007-01-17 22:21) [1]

> Oracle Database 10g
какой версии? если 10.2 - то эт пока фактически бета, и все об этом знают
у Оракла есть достойный продукт - Oracle Database. Все остальное - индейцы пишут.

← →
Petr V. Abramov © (2007-01-17 22:22) [2]

фактов взлома Oracle Database за последние 15 лет не было.

← →
Sergey Masloff (2007-01-17 22:24) [3]

Petr V. Abramov © (17.01.07 22:22) [2]
Можно подумать до этого было ;-)

← →
isasa © (2007-01-18 00:24) [4]

Неуловимый Оракл?

← →
Игорь Шевченко (2007-01-18 10:51) [5]

AntiUser © (17.01.07 22:13)

Спамерам удавиться и сдохнуть

← →
Desdechado © (2007-01-18 11:41) [6]

> у Оракла есть достойный продукт - Oracle Database. Все остальное - индейцы пишут.
Увы, сейчас пора говорить, что всё индейцы пишут :(

сегодня тоже приехало, январский патч:

Category I
Product releases and versions that are in Premier Support or Extended Support, under the Oracle Lifetime Support policy; or Error Correction Support (ECS) or Extended Maintenance Support (EMS), under the previous support policy:
• Oracle Database 10g Release 2, versions 10.2.0.1, 10.2.0.2, 10.2.0.3 [ Database ]
• Oracle Database 10g Release 1, versions 10.1.0.4, 10.1.0.5 [ Database ]
• Oracle9i Database Release 2, versions 9.2.0.7, 9.2.0.8 [ Database ]
• Oracle Identity Management 10g, version 10.1.4.0.1 [ Application Server ]
• Oracle Application Server 10g Release 3, versions 10.1.3.0.0, 10.1.3.1.0 [ Application Server ]
• Oracle Application Server 10g Release 2, versions 10.1.2.0.0 - 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0 [ Application Server ]
• Oracle Application Server 10g (9.0.4), versions 9.0.4.2, 9.0.4.3 [ Application Server ]
• Oracle E-Business Suite Release 11i, versions 11.5.7 - 11.5.10 CU2 [ E-Business Suite ]
• Oracle E-Business Suite Release 11.0 [ E-Business Suite ]
• Oracle Enterprise Manager 10g Grid Control Release 2, version 10.2.0.1 [ Enterprise Manager ]
• Oracle Enterprise Manager 10g Grid Control Release 1, versions 10.1.0.4, 10.1.0.5 [ Enterprise Manager ]
• Oracle PeopleSoft Enterprise PeopleTools versions 8.22, 8.47, 8.48 [ PeopleSoft/JDE ]

Category II
Products and components that are bundled with the products listed in Category I:
• Oracle Developer Suite, versions 9.0.4.3, 10.1.2.0.2 [ Developer Suite ]

Category III
Products that are de-supported as a standalone installation but are supported when installed with the products listed in Category I:
• Oracle9i Database Release 1, versions 9.0.1.5, 9.0.1.5 FIPS [ Application Server ]
• Oracle9i Database Release 1, version 9.0.1.4 [ Collaboration Suite ]
• Oracle8i Database Release 3, version 8.1.7.4 [ E-Business Suite ]
• Oracle9i Application Server Release 2, version 9.0.2.3 [ Collaboration Suite ]
• Oracle9i Application Server Release 1, version 1.0.2.2 [ E-Business Suite ]
• Oracle Developer Suite, version 6i [ E-Business Suite ]

Patches for Category III products are only available when these products are installed as part of Category I products, and are tested solely on supported configurations and environments. Please refer to the documentation for each product for specific details concerning the support and availability of patches.

Category IV
Products that are supported only on selected platforms. Please consult the additional documentation for details.
• Oracle Database 10g Release 1, version 10.1.0.3 [ Database ]
• Oracle9i Database Release 2, versions 9.2.0.5, 9.2.0.6 [ Database ]
• Oracle Application Server 10g Release 1 (9.0.4), version 9.0.4.1 [ Application Server ]
• Oracle Enterprise Manager 10g Grid Control Release 1, version 10.1.0.3 [ Enterprise Manager ]

> Игорь Шевченко (18.01.07 10:51) [5]
> AntiUser © (17.01.07 22:13)
> Спамерам удавиться и сдохнуть

Абсолютно согласен.
А почему ник без значка ©? Значит это не тот человек, о котором я думаю.

Множественные уязвимости в продуктах Oracle Найти похожие ветки