Множественные уязвимости в Oracle Application Server

Дата публикации:
18.01.2010
Дата изменения:
18.01.2010
Всего просмотров:
1239
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2009-3412
CVE-2010-0066
CVE-2010-0067
CVE-2010-0070
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
Неавторизованное изменение данных
Обход ограничений безопасности
Спуфинг атака
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Oracle Application Server 10g
Уязвимые версии:
Oracle Application Server Release 3 (10.1.3) версии 10.1.3.4.0, 10.1.3.5 и 10.1.3.5.1
Oracle Application Server 10g Release 2 (10.1.2) версия 10.1.2.3.0
Oracle Access Manager версии 7.0.4.3, 10.1.4.2

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, произвести спуфинг атаку, получить доступ к важным данным и произвести неавторизованное изменение данных.

1. Уязвимость существует из-за ошибки в Access Manager Identity Server, которая позволяет удаленному пользователю произвести неавторизованное изменение некоторых данных.

2. Уязвимость существует из-за ошибки в компоненте Oracle Containers для J2EE. Удаленный пользователь может получить доступ к потенциально важным данным.

3. Уязвимость существует из-за ошибки в компоненте Oracle Containers для J2EE. Удаленный пользователь может произвести неавторизованное изменение данных.

4. Уязвимость существует из-за ошибки в компоненте Unzip. Локальный аутентифицированный пользователь может получить доступ к потенциально важным данным.

URL производителя: www.oracle.com

Решение: Установите исправление с сайта производителя.

Ссылки: Oracle Critical Patch Update Advisory - January 2010
http://jvn.jp/en/jp/JVN50837839/index.html

или введите имя

CAPTCHA