Security Lab

Множественные уязвимости в различных продуктах от Oracle

Дата публикации:19.10.2006
Дата изменения:14.03.2009
Всего просмотров:2785
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2006-5332
CVE-2006-5333
CVE-2006-5334
CVE-2006-5335
CVE-2006-5336
CVE-2006-5346
CVE-2006-5347
CVE-2006-5348
CVE-2006-5349
CVE-2006-5350
CVE-2006-5351
CVE-2006-5352
CVE-2006-5353
CVE-2006-5354
CVE-2006-5355
CVE-2006-5356
CVE-2006-5357
CVE-2006-5358
CVE-2006-5359
CVE-2006-5360
CVE-2006-5361
CVE-2006-5362
CVE-2006-5363
CVE-2006-5364
CVE-2006-5365
CVE-2006-5366
CVE-2006-5367
CVE-2006-5368
CVE-2006-5369
CVE-2006-5370
CVE-2006-5371
CVE-2006-5372
CVE-2006-5373
CVE-2006-5374
CVE-2006-5375
CVE-2006-5376
CVE-2006-5377
CVE-2006-5378
CVE-2006-5337
CVE-2006-5341
CVE-2006-5342
CVE-2006-5344
CVE-2006-5345
CVE-2006-5338
CVE-2006-5339
CVE-2006-5340
CVE-2006-5343
CVE-2006-3918
CVE-2006-7158
CVE-2006-7138
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Отказ в обслуживании
Неавторизованное изменение данных
Обход ограничений безопасности
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Oracle9i Database Standard Edition
Oracle9i Database Enterprise Edition
Oracle Database 8.x
Oracle E-Business Suite 11i
Oracle9i Application Server
Oracle Collaboration Suite 10.x
Oracle9i Collaboration Suite
JD Edwards OneWorld Tools 8.x
Oracle Application Server 10g
Oracle Database 10.x
Oracle Developer Suite 10g
Oracle9i Developer Suite
JD Edwards EnterpriseOne Tools 8.x
Oracle PeopleSoft Enterprise Portal Solutions 8.x
Oracle Pharmaceutical Applications 4.x
Oracle PeopleSoft Enterprise Tools 8.x
Oracle Application Express 1.x
Oracle Application Express 2.x
Уязвимые версии:
JD Edwards EnterpriseOne Tools 8.x
JD Edwards OneWorld Tools 8.x
Oracle Application Express 1.x
Oracle Application Express 2.x
Oracle Application Server 10g
Oracle Collaboration Suite 10.x
Oracle Database 10g
Oracle Database 8.x
Oracle Developer Suite 10g
Oracle E-Business Suite 11i
Oracle PeopleSoft Enterprise Portal Solutions 8.x
Oracle PeopleSoft Enterprise Tools 8.x
Oracle Pharmaceutical Applications 4.x
Oracle9i Application Server
Oracle9i Collaboration Suite
Oracle9i Database Enterprise Edition
Oracle9i Database Standard Edition
Oracle9i Developer Suite

Описание: Обнаруженные уязвимости позволяют вызвать отказ в обслуживании, выполнить произвольный SQL команды и скомпрометировать уязвимую систему.

В настоящее время известны подробности следующих уязвимостей:

1. Следующие пакеты недостаточно проверяют представленные данные перед использованием в SQL запросах. В результате возможно изменить существующий Sql запрос и внедрить произвольный Sql код:

  • DBMS_XDBZ
  • SDO_DROP_USER_BEFORE
  • MD2
  • DBMS_CDC_IMPDP
  • DBMS_CDC_IPUBLISH
  • DBMS_CDC_ISUBSCRIBE
  • DBMS_SQLTUNE
  • SDO_GEOR_INT
  • XDB_PITRIG_PKG
  • SDO_DROP_USER
  • SDO_CS

2. Переполнение буфера обнаружено в функции RELATE в пакетах MD2 и SDO_GEOM и в функции GEOM_OPERATION в пакете SDO_3GL, а также в функции TRANSFORM_LAYER в пакете SDO_CS. В результате злоумышленник, контролирующий параметры к этим функциям, может выполнить произвольный код на уязвимой системе.

3. Уязвимость существует в пакете WWV_FLOW_ITEM_HELP из-за недостаточной обработки входных данных в параметре NOTIFCATION_MSG, и в Oracle Reports в параметрах "showenv", "parsequery", "cellwrapper" и "delimiter". Удаленный пользователь может выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

4. Уязвимость существует из-за ошибки, которая позволяет злоумышленнику только с привилегиями "create session" редактировать, создавать и удалять виды.

URL производителя: http://www.oracle.com

Решение:установите соответствующее исправление (см. уведомление от производителя)