Дата публикации: | 19.10.2006 |
Дата изменения: | 14.03.2009 |
Всего просмотров: | 2785 |
Опасность: | Высокая |
Наличие исправления: | Да |
Количество уязвимостей: | 1 |
CVE ID: |
CVE-2006-5332 CVE-2006-5333 CVE-2006-5334 CVE-2006-5335 CVE-2006-5336 CVE-2006-5346 CVE-2006-5347 CVE-2006-5348 CVE-2006-5349 CVE-2006-5350 CVE-2006-5351 CVE-2006-5352 CVE-2006-5353 CVE-2006-5354 CVE-2006-5355 CVE-2006-5356 CVE-2006-5357 CVE-2006-5358 CVE-2006-5359 CVE-2006-5360 CVE-2006-5361 CVE-2006-5362 CVE-2006-5363 CVE-2006-5364 CVE-2006-5365 CVE-2006-5366 CVE-2006-5367 CVE-2006-5368 CVE-2006-5369 CVE-2006-5370 CVE-2006-5371 CVE-2006-5372 CVE-2006-5373 CVE-2006-5374 CVE-2006-5375 CVE-2006-5376 CVE-2006-5377 CVE-2006-5378 CVE-2006-5337 CVE-2006-5341 CVE-2006-5342 CVE-2006-5344 CVE-2006-5345 CVE-2006-5338 CVE-2006-5339 CVE-2006-5340 CVE-2006-5343 CVE-2006-3918 CVE-2006-7158 CVE-2006-7138 |
Вектор эксплуатации: | Удаленная |
Воздействие: |
Межсайтовый скриптинг Отказ в обслуживании Неавторизованное изменение данных Обход ограничений безопасности Компрометация системы |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: |
Oracle9i Database Standard Edition
Oracle9i Database Enterprise Edition Oracle Database 8.x Oracle E-Business Suite 11i Oracle9i Application Server Oracle Collaboration Suite 10.x Oracle9i Collaboration Suite JD Edwards OneWorld Tools 8.x Oracle Application Server 10g Oracle Database 10.x Oracle Developer Suite 10g Oracle9i Developer Suite JD Edwards EnterpriseOne Tools 8.x Oracle PeopleSoft Enterprise Portal Solutions 8.x Oracle Pharmaceutical Applications 4.x Oracle PeopleSoft Enterprise Tools 8.x Oracle Application Express 1.x Oracle Application Express 2.x |
Уязвимые версии:
JD Edwards EnterpriseOne Tools 8.x Описание: Обнаруженные уязвимости позволяют вызвать отказ в обслуживании, выполнить произвольный SQL команды и скомпрометировать уязвимую систему. В настоящее время известны подробности следующих уязвимостей: 1. Следующие пакеты недостаточно проверяют представленные данные перед использованием в SQL запросах. В результате возможно изменить существующий Sql запрос и внедрить произвольный Sql код:
2. Переполнение буфера обнаружено в функции RELATE в пакетах MD2 и SDO_GEOM и в функции GEOM_OPERATION в пакете SDO_3GL, а также в функции TRANSFORM_LAYER в пакете SDO_CS. В результате злоумышленник, контролирующий параметры к этим функциям, может выполнить произвольный код на уязвимой системе. 3. Уязвимость существует в пакете WWV_FLOW_ITEM_HELP из-за недостаточной обработки входных данных в параметре NOTIFCATION_MSG, и в Oracle Reports в параметрах "showenv", "parsequery", "cellwrapper" и "delimiter". Удаленный пользователь может выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 4. Уязвимость существует из-за ошибки, которая позволяет злоумышленнику только с привилегиями "create session" редактировать, создавать и удалять виды. URL производителя: http://www.oracle.com Решение:установите соответствующее исправление (см. уведомление от производителя) |