Множественные уязвимости в продуктах Oracle

Дата публикации:
15.10.2008
Дата изменения:
29.03.2009
Всего просмотров:
1576
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2008-2588
CVE-2008-2619
CVE-2008-2624
CVE-2008-2625
CVE-2008-3975
CVE-2008-3976
CVE-2008-3977
CVE-2008-3980
CVE-2008-3982
CVE-2008-3983
CVE-2008-3984
CVE-2008-3985
CVE-2008-3986
CVE-2008-3987
CVE-2008-3988
CVE-2008-3989
CVE-2008-3990
CVE-2008-3991
CVE-2008-3992
CVE-2008-3993
CVE-2008-3994
CVE-2008-3995
CVE-2008-3996
CVE-2008-3998
CVE-2008-4000
CVE-2008-4001
CVE-2008-4002
CVE-2008-4003
CVE-2008-4004
CVE-2008-4005
Вектор эксплуатации:
Удаленная
Воздействие:
Брут-форс атака
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
JD Edwards EnterpriseOne Tools 8.x
Oracle Application Server 10g
Oracle Database 10.x
Oracle Database 11.x
Oracle E-Business Suite 11i
Oracle E-Business Suite 12.x
Oracle PeopleSoft Enterprise Portal Solutions 8.x
Oracle9i Database Standard Edition
Oracle9i Database Enterprise Edition
PeopleSoft PeopleTools 8.x
Уязвимые версии:
Oracle Database 11g, версия 11.1.0.6
Oracle Database 10g Release 2, версии 10.2.0.2, 10.2.0.3, 10.2.0.4
Oracle Database 10g, версия 10.1.0.5
Oracle Database 9i Release 2, версии 9.2.0.8, 9.2.0.8DV
Oracle Application Server 10g Release 3 (10.1.3), версии 10.1.3.3.0,10.1.3.4.0
Oracle Application Server 10g Release 2 (10.1.2), версии 10.1.2.2.0, 10.1.2.3.0
Oracle Application Server 10g (9.0.4), версия 9.0.4.3
Oracle E-Business Suite Release 12, версия 12.0.4
Oracle E-Business Suite Release 11i, версия 11.5.10.2
Oracle PeopleSoft Enterprise PeopleTools версии 8.48.18, 8.49.14
Oracle PeopleSoft Enterprise Portal версии 8.9, 9.0
Oracle JD Edwards EnterpriseOne Tools версии 8.97, 8.98
Oracle Application Server 9i Release 1, версия 1.0.2.2

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности и произвести брут-форс атаку.

1. Уязвимость существует из-за ошибки в механизме аутентификации от PeopleTools. Удаленный пользователь может произвести брут-форс атаку.

2. Уязвимость существует из-за ошибки в Oracle DBMS. Удаленный пользователь может с помощью специально сформированного аутентификационного сообщения, отправленного серверу баз данных, обойти механизм аутентификации. Для успешной эксплуатации уязвимости должен использоваться "proxy authentication mode" и злоумышленник должен знать серийный номер существующей сессии и идентификатор сессии.

3. Уязвимость существует из-за наличия повышенных привилегий для учетной записи FLOWS в Oracle Application Express (APEX).

4. Уязвимость существует из-за недостаточной проверки входных данных в процедурах COMPRESSWORKSPACETREE, MERGEWORKSPACE, and REMOVEWORKSPACE в "LT" PL/SQL пакете компонента Oracle Workspace Manager. Удаленный пользователь может выполнить произвольные SQL команды с повышенными привилегиями (SYS или WMSYS).

5. Уязвимость существует из-за недостаточной проверки входных данных в процедурах COMPRESSSTATE и GOTOTS в пакете "LTADM" PL/SQL компонента Oracle Workspace Manager. Удаленный пользователь с привилегиями "EXECUTE" для пакета [WM]SYS.LTADM может выполнить произвольные SQL команды с повышенными привилегиями (SYS или WMSYS).

6. Уязвимость существует из-за недостаточной обработки входных данных в процедуре ALTER_AUTOLOG_CHANGE_SOURCE в "DBMS_CDC_PUBLISH" PL/SQL пакете. Удаленный пользователь с привилегиями "EXECUTE" для пакета SYS.DBMS_CDC_PUBLISH может выполнить произвольные SQL команды с повышенными привилегиями (SYS).

7. Уязвимость существует из-за недостаточной проверки входных данных в процедуре ALTER_HOTLOG_INTERNAL_CSOURCE в пакете "DBMS_CDC_IPUBLISH" PL/SQL. Удаленный пользователь с привилегиями EXECUTE для пакета SYS.DBMS_CDC_IPUBLISH может выполнить произвольные SQL команды с повышенными привилегиями (SYS).

Подробности других уязвимостей не разглашаются.

URL производителя: www.oracle.com

Решение: Установите исправление с сайта производителя.

Журнал изменений:

29.03.2009
Обновлено описание уязвимостей.

Ссылки: Oracle Critical Patch Update Advisory - October 2008
http://www.appsecinc.com/resources/alerts/oracle/2008-08.shtml
http://www.appsecinc.com/resources/alerts/oracle/2008-09.shtml
http://www.appsecinc.com/resources/alerts/oracle/2008-10.shtml
http://www.appsecinc.com/resources/alerts/oracle/2008-11.shtml
http://www.petefinnigan.com/Advisory_CPU_Oct_2008.htm
http://lists.grok.org.uk/pipermail/full-disclosure/2008-October/065146.html
http://lists.grok.org.uk/pipermail/full-disclosure/2008-October/065147.html

или введите имя

CAPTCHA