Множественные уязвимости в продуктах Oracle
| Дата публикации: | 16.07.2008 |
| Дата изменения: | 29.03.2009 |
| Всего просмотров: | 2652 |
| Опасность: | Высокая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2007-1359 CVE-2008-2576 CVE-2008-2577 CVE-2008-2578 CVE-2008-2579 CVE-2008-2580 CVE-2008-2581 CVE-2008-2582 CVE-2008-2583 CVE-2008-2585 CVE-2008-2586 CVE-2008-2587 CVE-2008-2589 CVE-2008-2590 CVE-2008-2591 CVE-2008-2592 CVE-2008-2593 CVE-2008-2594 CVE-2008-2595 CVE-2008-2596 CVE-2008-2597 CVE-2008-2598 CVE-2008-2599 CVE-2008-2600 CVE-2008-2601 CVE-2008-2602 CVE-2008-2603 CVE-2008-2604 CVE-2008-2605 CVE-2008-2606 CVE-2008-2607 CVE-2008-2608 CVE-2008-2609 CVE-2008-2610 CVE-2008-2611 CVE-2008-2612 CVE-2008-2613 CVE-2008-2614 CVE-2008-2615 CVE-2008-2616 CVE-2008-2617 CVE-2008-2618 CVE-2008-2620 CVE-2008-2621 CVE-2008-2622 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Отказ в обслуживании Раскрытие важных данных Повышение привилегий Обход ограничений безопасности Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Oracle9i Database Standard Edition
Oracle9i Database Enterprise Edition Oracle9i Application Server Oracle Database 10.x Oracle Database 11.x BEA WebLogic Express 7.x BEA WebLogic Express 8.x BEA WebLogic Express 9.x BEA WebLogic Express 10.x BEA WebLogic Server 6.x BEA WebLogic Server 7.x BEA WebLogic Server 8.x BEA WebLogic Server 9.x BEA WebLogic Server 10.x Oracle Application Server 10g Oracle E-Business Suite 11i Oracle E-Business Suite 12.x Oracle Enterprise Manager 10.x Oracle Hyperion Business Intelligence Plus 9.x Oracle Hyperion Performance Suite 8.x Oracle PeopleSoft Enterprise Customer Relationship Management (CRM) 9.x Oracle PeopleSoft Enterprise Tools 8.x Oracle Times-Ten In-Memory Database 7.x |
| Уязвимые версии: Oracle Database 11g, версия 11.1.0.6 Oracle Database 10g Release 2, версии 10.2.0.2, 10.2.0.3, 10.2.0.4 Oracle Database 10g, версия 10.1.0.5 Oracle Database 9i Release 2, версии 9.2.0.8, 9.2.0.8DV Oracle TimesTen In-Memory Database версия 7.0.3.0.0 Oracle Application Server 10g Release 3 (10.1.3), версии 10.1.3.1.0, 10.1.3.3.0 Oracle Application Server 10g Release 2 (10.1.2), версии 10.1.2.2.0, 10.1.2.3.0 Oracle Application Server 10g (9.0.4), версия 9.0.4.3 Oracle Hyperion BI Plus версия 9.2.0.3, 9.2.1.0,и 9.3.1.0 Oracle Hyperion Performance Suite версия 8.3.2.4, и 8.5.0.3 Oracle E-Business Suite Release 12, версия 12.0.4 Oracle E-Business Suite Release 11i, версия 11.5.10.2 Oracle Enterprise Manager Database Control 11i версия 11.1.0.6 Oracle Enterprise Manager Database Control 10g Release 2, версии 10.2.0.2, 10.2.0.3, 10.2.0.4 Oracle Enterprise Manager Database Control 10g Release 1, версия 10.1.0.5 Oracle Enterprise Manager Grid Control 10g Release 1, версии 10.1.0.5, 10.1.0.6 Oracle PeopleSoft Enterprise PeopleTools версии 8.48.17, 8.49.11 Oracle PeopleSoft Enterprise CRM версия 8.9, 9.0 Oracle WebLogic Server (ранее BEA WebLogic Server) 10.0 released по MP1 Oracle WebLogic Server (ранее BEA WebLogic Server) 9.0, 9.1, 9.2 released по MP3 Oracle WebLogic Server (ранее BEA WebLogic Server) 8.1 released по SP6 Oracle WebLogic Server (ранее BEA WebLogic Server) 7.0 released по SP7 Oracle WebLogic Server (ранее BEA WebLogic Server) 6.1 released по SP7 Описание:
1. Уязвимость существует из-за ошибки в Oracle HTTP Server. Уязвимость относится к: 2. Уязвимость существует из-за ошибки разыменования нулевого указателя в Oracle Internet Directory. Удаленный пользователь может отправить специально сформированный LDAP запрос на порт 389/TCP или 636/TCP и вызвать отказ в обслуживании приложения. 3. Уязвимость существует из-за ошибки проверки границ данных в пакете DBMS_AQELM в Oracle Database. Удаленный пользователь может передать слишком длинную строку в качестве параметра процедуры, вызвать переполнение буфера и выполнить произвольный код на целевой системе. 4. Уязвимость существует из-за использования недоверенного пути к библиотеке в setuid приложении. Локальный пользователь с привилегиями учетной записи "oracle" или член группы "oinstall" может повысить свои привилегии на системе. 5. Уязвимость существует из-за недостаточной проверки входных данных в процедуре "SHOW" в пакете "WWV_RENDER_REPORT". Удаленный пользователь может внедрить и выполнить произвольный PLSQL код и получить полный контроль над Oracle Database. 6. Уязвимость существует из-за неизвестно ошибки в WebLogic Server в компоненте ForeignJMS и в консоли WebLogic. Злоумышленник может получить доступ к потенциально важным данным. 7. Уязвимость существует из-за неизвестной ошибки в WebLogic Server в Console/WLST. Локальный пользователь может повысить свои привилегии на системе. 8. Уязвимость существует из-за неизвестной ошибки в WebLogic Server в WebLogic плагинах к Apache, Sun и IIS Web серверам. Злоумышленник может получить доступ к потенциально важным данным. 9. Уязвимость существует из-за неизвестной ошибки в WebLogic Server при обработке JSP страниц. Удаленный пользователь может получить доступ к потенциально важным данным. 10. Уязвимость существует из-за неизвестной ошибки в WebLogic Server в UDDI Explorer. Удаленный пользователь может скомпрометировать целевую систему. 11. Уязвимость существует из-за неизвестной ошибки в WebLogic Server. Удаленный пользователь может произвести DoS атаку. 12. Уязвимость существует из-за недостаточной проверки входных данных в параметрах "REFRESHCHOICE" и "REFRESHHOME" на страницах Oracle Enterprise Manager. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 13. Уязвимость существует из-за недостаточной проверки входных данных в процедуре "ACTION" в PL/SQL пакете WWEXP_API_ENGINE. Удаленный пользователь может выполнить произвольные SQL команды. 14. Уязвимость существует из-за недостаточной проверки входных данных в процедуре "DELETE_TRAN" в PL/SQL пакете DBMS_DEFER_SYS. Удаленный пользователь может выполнить произвольные SQL команды. Подробности об остальных ошибках не разглашаются. URL производителя: www.oracle.com Решение: Установите исправление с сайта производителя. Журнал изменений:
22.07.2008 |
|
| Ссылки: |
Oracle Critical Patch Update Advisory - July 2008 iDefense Security Advisory 07.15.08: Oracle Database DBMS_AQELM Package Buffer Overflow Vulnerability iDefense Security Advisory 07.15.08: Oracle Database Local Untrusted Library Path Vulnerability iDefense Security Advisory 07.15.08: Oracle Internet Directory Pre-Authentication LDAP DoS Vulnerability Oracle Internet Directory 10.1.4 Remote Preauth DoS Exploit |
|
|
https://support.bea.com/application_content/product_portlets/securityadvisories/2782.html https://support.bea.com/application_content/product_portlets/securityadvisories/2785.html https://support.bea.com/application_content/product_portlets/securityadvisories/2786.html https://support.bea.com/application_content/product_portlets/securityadvisories/2789.html https://support.bea.com/application_content/product_portlets/securityadvisories/2790.html https://support.bea.com/application_content/product_portlets/securityadvisories/2791.html https://support.bea.com/application_content/product_portlets/securityadvisories/2792.html http://archives.neohapsis.com/archives/fulldisclosure/2008-07/0240.html |