Множественные уязвимости в продуктах Oracle

Дата публикации:
19.07.2007
Дата изменения:
25.07.2007
Всего просмотров:
2020
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2007-0270
CVE-2007-0272
CVE-2007-3853
CVE-2007-3854
CVE-2007-3855
CVE-2007-3856
CVE-2007-3857
CVE-2007-3858
CVE-2007-3859
CVE-2007-3860
CVE-2007-3861
CVE-2007-3862
CVE-2007-3863
CVE-2007-3864
CVE-2007-3865
CVE-2007-3866
CVE-2007-3867
CVE-2007-3868
CVE-2007-3869
CVE-2007-3870
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Отказ в обслуживании
Раскрытие важных данных
Неавторизованное изменение данных
Обход ограничений безопасности
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Oracle9i Database Standard Edition
Oracle9i Database Enterprise Edition
Oracle E-Business Suite 11i
Oracle Collaboration Suite 10.x
Oracle Application Server 10g
Oracle Database 10.x
PeopleSoft Enterprise Customer Relationship Management (CRM) 8.x
Oracle PeopleSoft Enterprise Tools 8.x
Oracle Application Express 1.x
Oracle Application Express 2.x
Oracle Secure Enterprise Search 10.x
Oracle E-Business Suite 12.x
Oracle PeopleSoft Enterprise Human Capital Management 8.x
Oracle PeopleSoft Enterprise Customer Relationship Management (CRM) 9.x
Oracle PeopleSoft Enterprise Human Capital Management 9.x
Уязвимые версии:
Oracle Application Express 1.x
Oracle Application Express 2.x
Oracle Application Server 10g
Oracle Collaboration Suite 10.x
Oracle Database 10.x
Oracle E-Business Suite 11i
Oracle E-Business Suite 12.x
Oracle PeopleSoft Enterprise Customer Relationship Management (CRM) 9.x
Oracle PeopleSoft Enterprise Human Capital Management 8.x
Oracle PeopleSoft Enterprise Human Capital Management 9.x
Oracle PeopleSoft Enterprise Tools 8.x
Oracle Secure Enterprise Search 10.x
Oracle9i Database Enterprise Edition
Oracle9i Database Standard Edition
PeopleSoft Enterprise Customer Relationship Management (CRM) 8.x

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности, выполнить произвольные SQL команды, вызвать отказ в обслуживании и скомпрометировать целевую систему.

Подробности известны по следующим уязвимостям:
1. Уязвимость существует из-за недостаточной обработки входных данных в функции wwv_flow_security.check_db_password в Oracle APEX. Удаленный пользователь может внедрить и выполнить произвольные SQL запросы в базе данных приложения.

2. Злоумышленник может с помощью специально сформированных видов произвести неавторизованные обновления, удаления и вставки данных.

3. Уязвимость существует из-за недостаточной обработки входных данных в пакте DBMS_PRVTAQIS. Злоумышленник может выполнить произвольные SQL команды в базе данных приложения.

4. Обнаружены ошибки в различных публичных процедурах в пакете MDSYS.MD. Удаленный пользователь может вызвать переполнение буфера и произвести DoS атаку или выполнить произвольный код на целевой системе.

5. Уязвимость существует из-за ошибок в функции "GET_PROPERTY" в пакете SYS.DBMS_DRS. Удаленный пользователь может вызвать переполнение буфера и произвести DoS атаку или выполнить произвольный код на целевой системе.

URL производителя: www.oracle.com

Решение: Установите исправления с сайта производителя.

Ссылки: CVE-2007-0270
CVE-2007-3855
CVE-2007-0272
CVE-2007-3853
CVE-2007-3854
CVE-2007-3856
CVE-2007-3858
CVE-2007-3857
CVE-2007-3859
CVE-2007-3860
CVE-2007-3861
CVE-2007-3862
CVE-2007-3863
CVE-2007-3864
CVE-2007-3865
CVE-2007-3866
CVE-2007-3867
CVE-2007-3868
CVE-2007-3869
CVE-2007-3870

или введите имя

CAPTCHA