Множественные уязвимости в продуктах Oracle
| Дата публикации: | 19.01.2006 |
| Дата изменения: | 06.04.2009 |
| Всего просмотров: | 4017 |
| Опасность: | Высокая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2005-2371 CVE-2005-2378 CVE-2006-0256 CVE-2006-0257 CVE-2006-0258 CVE-2006-0259 CVE-2006-0260 CVE-2006-0261 CVE-2006-0262 CVE-2006-0263 CVE-2006-0264 CVE-2006-0265 CVE-2006-0266 CVE-2006-0267 CVE-2006-0268 CVE-2006-0269 CVE-2006-0270 CVE-2006-0271 CVE-2006-0272 CVE-2006-0273 CVE-2006-0274 CVE-2006-0275 CVE-2006-0276 CVE-2006-0277 CVE-2006-0278 CVE-2006-0279 CVE-2006-0280 CVE-2006-0281 CVE-2006-0282 CVE-2006-0283 CVE-2006-0284 CVE-2006-0285 CVE-2006-0286 CVE-2006-0287 CVE-2006-0288 CVE-2006-0289 CVE-2006-0290 CVE-2006-0291 CVE-2006-0547 CVE-2006-0548 CVE-2006-0549 CVE-2006-0550 CVE-2006-0551 CVE-2006-0586 CVE-2006-0552 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Раскрытие важных данных Раскрытие системных данных Неавторизованное изменение данных Обход ограничений безопасности Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Oracle9i Database Standard Edition
Oracle9i Database Enterprise Edition Oracle Database 8.x Oracle E-Business Suite 11i Oracle9i Application Server Oracle Collaboration Suite 10.x Oracle9i Collaboration Suite Oracle Enterprise Manager 10.x Oracle Application Server 10g Oracle Database 10.x Oracle Developer Suite 10g Oracle9i Developer Suite JD Edwards EnterpriseOne Tools 8.x Oracle PeopleSoft Enterprise Portal Solutions 8.x |
| Уязвимые версии: JD Edwards EnterpriseOne 8.x Oracle Application Server 10g Oracle Collaboration Suite Release 1 Oracle Collaboration Suite Release 2 Oracle Database 8.x Oracle Database Server 10g Oracle Developer Suite 10g Oracle E-Business Suite 11i Oracle Enterprise Manager 10.x Oracle9i Application Server Oracle9i Database Enterprise Edition Oracle9i Database Standard Edition Oracle9i Developer Suite PeopleSoft Enterprise Portal 8.x Описание: 1. Уязвимость существует из-за недостаточной обработки входных данных в различных параметрах в процедурах DBMS_DATAPUMP, DBMS_REGISTRY, DBMS_CDC_UTILITY, DBMS_CDC_PUBLISH, DBMS_METADATA_UTIL и DBMS_METADATA_INT в пакетах Oracle PL/SQL. Злоумышленник может выполнить произвольные SQL команды в базе данных. 2. Уязвимость существует из-за недостаточной обработки входных данных в процедурах ATTACH_JOB, HAS_PRIVS и OPEN_JOB в пакете SYS.KUPV$FT. Злоумышленник может выполнить произвольные SQL команды в базе данных. Уязвимость обнаружена в Oracle 10g Release 1 3. Уязвимость обнаружена в нескольких процедурах в пакете SYS.KUPV$FT_INT. Злоумышленник может выполнить произвольные SQL команды в базе данных. Уязвимость обнаружена в Oracle 10g Release 1 4. Ошибка дизайна обнаружена в Oracle TDE (Transparent Data Encryption) wallet, которая позволяет сохранить пароль и главный ключ в незашифрованном виде. Уязвимость существует в Oracle Database 10g Release 2 version 10.2.0.1 5. Обнаружены ошибки в компонентах Reports в Application Server, которые позволяют злоумышленнику перезаписать произвольные файлы на системе. Уязвимость существуют в версиях 1.0.2.0 по 10.1.0.2. 6. Уязвимость обнаружена при обработке входных данных в атрибуте AUTH_ALTER_SESSION в аутентификационном сообщении TNS. Удаленный пользователь может выполнить произвольные SQL команды в базе данных приложения с привилегиями пользователя SYS. Уязвимость существует в Oracle 8i (8.1.7.x.x), Oracle 9i (9.2.0.7), Oracle 10g Release 1 (10.1.0.4.2) и Oracle 10g Release 2 (10.2.0.1.0). 7. Уязвимость существует из-за недостаточной проверки входных данных в пакете "sys.dbms_metadata". Удаленный пользователь может внедрить и выполнить произвольные SQL команды на системе. 8. Уязвимость существует из-за ошибки проверки границ данных в публичных процедурах GENERATESCHEMA и GENERATESCHEMAS в PL/SQL пакетах DBMS_XMLSCHEMA и DBMS_XMLSCHEMA_INT. Удаленный пользователь может передать слишком длинные параметры уязвимым процедурам, вызвать переполнение буфера и выполнить произвольный код на целевой системе. Уязвимость существует в Oracle Database Server 9i Release 2 и 10g Release 1. URL производителя: www.oracle.com Решение: Установите исправления с сайта производителя. |
|
| Ссылки: |
Oracle Database 10g Rel. 2 - Event 10053 logs TDE wallet password in cleartext Oracle Reports - Read parts of files via desname (fixed after 874 days) Oracle Reports - Overwrite any application server file via desname (fixed after 889 days) Oracle Reports - Read parts of files via customize(fixed after 875 days) Oracle Database 10g Rel. 2- Transparent Data Encryption plaintext masterkey in SGA |
|
|
http://www.oracle.com/technology/deploy/security/pdf/cpujan2006.html |