Множественные уязвимости в различных продуктах от Oracle

Множественные уязвимости в различных продуктах от Oracle

Обнаруженные уязвимости позволяют вызвать отказ в обслуживании, выполнить произвольный SQL команды и скомпрометировать уязвимую систему.

Программа:
JD Edwards EnterpriseOne Tools 8.x
JD Edwards OneWorld Tools 8.x
Oracle Application Express 1.x
Oracle Application Express 2.x
Oracle Application Server 10g
Oracle Collaboration Suite 10.x
Oracle Database 10g
Oracle Database 8.x
Oracle Developer Suite 10g
Oracle E-Business Suite 11i
Oracle PeopleSoft Enterprise Portal Solutions 8.x
Oracle PeopleSoft Enterprise Tools 8.x
Oracle Pharmaceutical Applications 4.x
Oracle9i Application Server
Oracle9i Collaboration Suite
Oracle9i Database Enterprise Edition
Oracle9i Database Standard Edition
Oracle9i Developer Suite

Опасность: Критическая

Наличие эксплоита: Нет

Описание: Обнаруженные уязвимости позволяют вызвать отказ в обслуживании, выполнить произвольный SQL команды и скомпрометировать уязвимую систему.

В настоящее время известны подробности следующих уязвимостей:

1. Следующие пакеты недостаточно проверяют представленные данные перед использованием в SQL запросах. В результате возможно изменить существующий Sql запрос и внедрить произвольный Sql код:

  • DBMS_XDBZ
  • SDO_DROP_USER_BEFORE
  • MD2
  • DBMS_CDC_IMPDP
  • DBMS_CDC_IPUBLISH
  • DBMS_CDC_ISUBSCRIBE
  • DBMS_SQLTUNE
  • SDO_GEOR_INT
  • XDB_PITRIG_PKG
  • SDO_DROP_USER
  • SDO_CS

2. Переполнение буфера обнаружено в функции RELATE в пакетах MD2 и SDO_GEOM и в функции GEOM_OPERATION в пакете SDO_3GL, а также в функции TRANSFORM_LAYER в пакете SDO_CS. В результате злоумышленник, контролирующий параметры к этим функциям, может выполнить произвольный код на уязвимой системе.

URL производителя: http://www.oracle.com

Решение:установите соответствующее исправление (см. уведомление от производителя)

Ваши данные уже украдены. Вопрос лишь в том, когда их используют против вас.

Узнайте, как защититься!