Дата публикации: | 17.10.2007 |
Дата изменения: | 18.11.2007 |
Всего просмотров: | 2730 |
Опасность: | Средняя |
Наличие исправления: | Да |
Количество уязвимостей: | 1 |
CVE ID: |
CVE-2007-5504 CVE-2007-5505 CVE-2007-5506 CVE-2007-5507 CVE-2007-5508 CVE-2007-5509 CVE-2007-5510 CVE-2007-5511 CVE-2007-5512 CVE-2007-5513 CVE-2007-5514 CVE-2007-5515 CVE-2007-5516 CVE-2007-5517 CVE-2007-5518 CVE-2007-5519 CVE-2007-5520 CVE-2007-5521 CVE-2007-5522 CVE-2007-5523 CVE-2007-5524 CVE-2007-5525 CVE-2007-5526 CVE-2007-5527 CVE-2007-5528 CVE-2007-5529 CVE-2007-5530 CVE-2007-5531 CVE-2007-5532 CVE-2007-5533 CVE-2007-5534 CVE-2007-5766 CVE-2007-5897 |
Вектор эксплуатации: | Удаленная |
Воздействие: |
Отказ в обслуживании Раскрытие важных данных Неавторизованное изменение данных Обход ограничений безопасности Компрометация системы |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: |
Oracle9i Database Standard Edition
Oracle9i Database Enterprise Edition Oracle E-Business Suite 11i Oracle Collaboration Suite 10.x Oracle Enterprise Manager 10.x Oracle Application Server 10g Oracle Database 10.x Oracle PeopleSoft Enterprise Tools 8.x Oracle E-Business Suite 12.x Oracle PeopleSoft Enterprise Human Capital Management 8.x Oracle PeopleSoft Enterprise Human Capital Management 9.x |
Уязвимые версии: Oracle Application Server 10g Oracle Collaboration Suite 10.x Oracle Database 10.x Oracle E-Business Suite 11i Oracle E-Business Suite 12.x Oracle Enterprise Manager 10.x Oracle PeopleSoft Enterprise Human Capital Management 8.x Oracle PeopleSoft Enterprise Human Capital Management 9.x Oracle PeopleSoft Enterprise Tools 8.x Oracle9i Database Enterprise Edition Oracle9i Database Standard Edition Описание: 1. Уязвимость существует из-за ошибки проверки входных данных в службе GIOP в Oracle TNS Listener. Удаленный пользователь может с помощью специально сформированного GIOP пакета аварийно завершить работу TNS Listener или получить доступ к важным данным на системе. 2. Уязвимость существует из-за недостаточной обработки входных данных в пакете CTX_DOC перед выполнением SQL запросов. Удаленный пользователь может посредством процедур THEMES, GIST, TOKENS, FILTER, HIGHLIGHT и MARKUP внедрить и выполнить произвольные SQL команды. 3. Уязвимость существует из-за ошибки в Oracle RDBMS при обработке TNS пакетов. Удаленный пользователь может с помощью специально сформированной последовательности пакетов вызвать высокую загрузку процессора и произвести DoS атаку. 4. Уязвимость существует из-за недостаточной обработки данных в LT пакете перед использованием их в SQL запросах в пакете FINDRICSET. Удаленный пользователь может посредством процедуры FINDRICSET внедрить и выполнить произвольные SQL команды на системе. 5. Уязвимость существует из-за ошибки в Oracle XML DB ftp службе, которая приводит к записи некорректного "USERID" в журнал событий. 6. Уязвимость существует из-за ошибки проверки границ данных в процедуре DBLINK_INFO в DBMS_AQADM_SYS пакете. Удаленный пользователь с привилегиями EXECUTE может вызвать переполнение буфера. 7. Уязвимость существует из-за ошибки проверки границ данных в процедуре TRANSFORM в MDSYS.SDO_CS пакете. Удаленный пользователь может вызвать переполнение буфера и выполнит произвольный код на целевой системе. 8. Уязвимость существует из-за недостаточной обработки входных данных на странице okxLOV.jsp в административной консоли Oracle E-Business Suite. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения в контексте пользователя "APPS". URL производителя: www.oracle.com Решение: Установите исправления с сайта производителя. Журнал изменений:
26.10.2007
17.11.2007 |
|
Ссылки: |
Oracle Critical Patch Update - October 2007 High Risk Vulnerability in Oracle TNS Listener High Risk Vulnerability in Oracle CTX_DOC High Risk Vulnerability in Oracle RDBMS High Risk Vulnerability in Oracle Workspace Manager High Risk Vulnerability in Oracle XMLDB FTP Service ZDI-07-058: Oracle E-Business Suite SQL Injection Vulnerability |