Множественные уязвимости в продуктах Oracle
| Дата публикации: | 18.01.2008 |
| Дата изменения: | 16.04.2008 |
| Всего просмотров: | 1866 |
| Опасность: | Высокая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2008-0339 CVE-2008-0340 CVE-2008-0342 CVE-2008-0344 CVE-2008-0345 CVE-2008-0346 CVE-2008-0347 CVE-2008-0348 CVE-2008-0349 CVE-2008-0341 CVE-2008-0343 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Отказ в обслуживании Неавторизованное изменение данных Обход ограничений безопасности Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Oracle Application Server 10g
Oracle Collaboration Suite 10.x Oracle Database 10.x Oracle E-Business Suite 11i Oracle E-Business Suite 12.x Oracle PeopleSoft Enterprise Tools 8.x Oracle9i Database Enterprise Edition Oracle9i Database Standard Edition |
| Уязвимые версии: Oracle Database 11g, версия 11.1.0.6 Oracle Database 10g Release 2, версии 10.2.0.2, 10.2.0.3 Oracle Database 10g, версия 10.1.0.5 Oracle Database 9i Release 2, версии 9.2.0.8, 9.2.0.8DV Oracle Application Server 10g Release 3 (10.1.3), версии 10.1.3.0.0, 10.1.3.1.0, 10.1.3.3.0 Oracle Application Server 10g Release 2 (10.1.2), версии 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0 Oracle Application Server 10g (9.0.4), версия 9.0.4.3 Oracle Collaboration Suite 10g, версия 10.1.2 Oracle E-Business Suite Release 12, версии 12.0.0 - 12.0.3 Oracle E-Business Suite Release 11i, версии 11.5.9 - 11.5.10 CU2 Oracle PeopleSoft Enterprise PeopleTools версии 8.22, 8.48, 8.49 Описание: 1. Уязвимость существует из-за ошибки проверки границ данных в процедурах XDB.XDB_PITRIG_PKG.PITRIG_TRUNCATE и XDB.XDB_PITRIG_PKG.PITRIG_DROP. Удаленный пользователь может передать уязвимой процедуре слишком длинный аргумент и вызвать переполнение буфера. 2. Уязвимость существует из-за недостаточной обработки первого аргумента в процедурах XDB.XDB_PITRIG_PKG.PITRIG_TRUNCATE и XDB.XDB_PITRIG_PKG.PITRIG_DROP. Удаленный пользователь может внедрить и выполнить произвольные SQL команды в базе данных приложения. 3. Уязвимость существует из-за ошибки в модуле Ultra-Search. Злоумышленник может обойти некоторые ограничения безопасности из-за того, что пользователю WKSYS предоставляются слишком высокие привилегии. Подробности остальных уязвимостей не сообщаются. URL производителя: www.oracle.com Решение: Установите исправление с сайта производителя. Журнал изменений:
29.01.2008 |
|
| Ссылки: |
Oracle Critical Patch Update Advisory - January 2008 Oracle 10g R1 pitrig_drop PLSQL Injection (get users hash) Oracle 10g R1 xdb.xdb_pitrig_pkg PLSQL Injection (change sys password) Oracle 10g R1 pitrig_truncate PLSQL Injection (get users hash) Oracle 10g R1 xdb.xdb_pitrig_pkg Buffer Overflow Exploit (PoC) |