Множественные уязвимости в Oracle

Дата публикации:	21.04.2006
Всего просмотров:	1812
Опасность:	Высокая
Наличие исправления:	Частично
Количество уязвимостей:	1
CVE ID:	CVE-2006-1867 CVE-2006-1871 CVE-2006-1872 CVE-2006-1873 CVE-2006-1874 CVE-2006-1875 CVE-2006-1877 CVE-2006-1879 CVE-2006-1880 CVE-2006-1881 CVE-2006-1882 CVE-2006-1883 CVE-2006-1884 CVE-2006-1885 CVE-2006-1886 CVE-2006-1887 CVE-2006-1868 CVE-2006-1866 CVE-2006-1869 CVE-2006-1870 CVE-2006-1876
Вектор эксплуатации:	Удаленная
Воздействие:	Неавторизованное изменение данных Обход ограничений безопасности Компрометация системы
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	Oracle9i Database Standard Edition Oracle9i Database Enterprise Edition Oracle Database 8.x Oracle E-Business Suite 11i Oracle9i Application Server Oracle Collaboration Suite 10.x Oracle9i Collaboration Suite Oracle Enterprise Manager 10.x JD Edwards OneWorld Tools 8.x Oracle Application Server 10g Oracle Database 10.x Oracle9i Developer Suite JD Edwards EnterpriseOne Tools 8.x Oracle Pharmaceutical Applications 4.x Oracle PeopleSoft Enterprise Tools 8.x Oracle Workflow 11.x
	Уязвимые версии: JD Edwards EnterpriseOne 8.x JD Edwards OneWorld 8.x Oracle Application Server 10g Oracle Collaboration Suite 10.x Oracle Database 10g Oracle Database 8.x Oracle E-Business Suite 11i Oracle Enterprise Manager 10.x Oracle PeopleSoft Enterprise Tools 8.x Oracle Pharmaceutical Applications 4.x Oracle Workflow 11.x Oracle9i Application Server Oracle9i Collaboration Suite Oracle9i Database Enterprise Edition Oracle9i Database Standard Edition Oracle9i Developer Suite Описание: Обнаружены множественные уязвимости в различных продуктах Oracle. Удаленный пользователь может произвести SQL-инъекцию и скомпрометировать уязвимую систему. Данные раскрыты для следующих уязвимостей: 1. Уязвимость существует из-за недостаточной обработки входных данных в компоненте Log Miner (пакет "dbms_logmnr_session"). Удаленный пользователь может произвести SQL-инъекцию. 2. Обнаружена ошибка проверки границ данных в процедуре "VERIFY_LOG", поставляемой совместно с пакетом "sys.dbms_snapshot_utl". Удаленный пользователь может вызвать переполнение буфера и выполнить произвольный код на целевой системе. URL производителя: oracle.com Решение: Установите исправление с сайта производителя. Примечание: Для некоторых платформ исправление уязвимости #2 будет доступно только с 2006-05-01. Настоятельно рекомендуется запретить доступ к пакету "sys.dbms_snapshot_utl" до выхода пакета исправлений.
Ссылки:	SQL Injection in package SYS.DBMS_LOGMNR_SESSION Details Oracle Critical Patch Update April 2006 - V1.03 Oracle Database 10gR1 Buffer overflow in VERIFY_LOG procedure (DB03) Oracle Critical Patch Update - April 2006

Множественные уязвимости в Oracle

Подпишитесь на email рассылку