Множественные уязвимости в Oracle

Дата публикации:
21.04.2006
Всего просмотров:
1532
Опасность:
Высокая
Наличие исправления:
Частично
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2006-1867
CVE-2006-1871
CVE-2006-1872
CVE-2006-1873
CVE-2006-1874
CVE-2006-1875
CVE-2006-1877
CVE-2006-1879
CVE-2006-1880
CVE-2006-1881
CVE-2006-1882
CVE-2006-1883
CVE-2006-1884
CVE-2006-1885
CVE-2006-1886
CVE-2006-1887
CVE-2006-1868
CVE-2006-1866
CVE-2006-1869
CVE-2006-1870
CVE-2006-1876
Вектор эксплуатации:
Удаленная
Воздействие:
Неавторизованное изменение данных
Обход ограничений безопасности
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Oracle9i Database Standard Edition
Oracle9i Database Enterprise Edition
Oracle Database 8.x
Oracle E-Business Suite 11i
Oracle9i Application Server
Oracle Collaboration Suite 10.x
Oracle9i Collaboration Suite
Oracle Enterprise Manager 10.x
JD Edwards OneWorld Tools 8.x
Oracle Application Server 10g
Oracle Database 10.x
Oracle9i Developer Suite
JD Edwards EnterpriseOne Tools 8.x
Oracle Pharmaceutical Applications 4.x
Oracle PeopleSoft Enterprise Tools 8.x
Oracle Workflow 11.x
Уязвимые версии:
JD Edwards EnterpriseOne 8.x
JD Edwards OneWorld 8.x
Oracle Application Server 10g
Oracle Collaboration Suite 10.x
Oracle Database 10g
Oracle Database 8.x
Oracle E-Business Suite 11i
Oracle Enterprise Manager 10.x
Oracle PeopleSoft Enterprise Tools 8.x
Oracle Pharmaceutical Applications 4.x
Oracle Workflow 11.x
Oracle9i Application Server
Oracle9i Collaboration Suite
Oracle9i Database Enterprise Edition
Oracle9i Database Standard Edition
Oracle9i Developer Suite

Описание:
Обнаружены множественные уязвимости в различных продуктах Oracle. Удаленный пользователь может произвести SQL-инъекцию и скомпрометировать уязвимую систему.

Данные раскрыты для следующих уязвимостей:
1. Уязвимость существует из-за недостаточной обработки входных данных в компоненте Log Miner (пакет "dbms_logmnr_session"). Удаленный пользователь может произвести SQL-инъекцию.

2. Обнаружена ошибка проверки границ данных в процедуре "VERIFY_LOG", поставляемой совместно с пакетом "sys.dbms_snapshot_utl". Удаленный пользователь может вызвать переполнение буфера и выполнить произвольный код на целевой системе.

URL производителя: oracle.com

Решение: Установите исправление с сайта производителя.
Примечание: Для некоторых платформ исправление уязвимости #2 будет доступно только с 2006-05-01. Настоятельно рекомендуется запретить доступ к пакету "sys.dbms_snapshot_utl" до выхода пакета исправлений.

Ссылки: SQL Injection in package SYS.DBMS_LOGMNR_SESSION
Details Oracle Critical Patch Update April 2006 - V1.03
Oracle Database 10gR1 Buffer overflow in VERIFY_LOG procedure (DB03)
Oracle Critical Patch Update - April 2006

или введите имя

CAPTCHA