Дата публикации: | 15.10.2008 |
Дата изменения: | 29.03.2009 |
Всего просмотров: | 1884 |
Опасность: | Средняя |
Наличие исправления: | Да |
Количество уязвимостей: | 1 |
CVE ID: |
CVE-2008-2588 CVE-2008-2619 CVE-2008-2624 CVE-2008-2625 CVE-2008-3975 CVE-2008-3976 CVE-2008-3977 CVE-2008-3980 CVE-2008-3982 CVE-2008-3983 CVE-2008-3984 CVE-2008-3985 CVE-2008-3986 CVE-2008-3987 CVE-2008-3988 CVE-2008-3989 CVE-2008-3990 CVE-2008-3991 CVE-2008-3992 CVE-2008-3993 CVE-2008-3994 CVE-2008-3995 CVE-2008-3996 CVE-2008-3998 CVE-2008-4000 CVE-2008-4001 CVE-2008-4002 CVE-2008-4003 CVE-2008-4004 CVE-2008-4005 |
Вектор эксплуатации: | Удаленная |
Воздействие: |
Брут-форс атака Обход ограничений безопасности |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: |
JD Edwards EnterpriseOne Tools 8.x
Oracle Application Server 10g Oracle Database 10.x Oracle Database 11.x Oracle E-Business Suite 11i Oracle E-Business Suite 12.x Oracle PeopleSoft Enterprise Portal Solutions 8.x Oracle9i Database Standard Edition Oracle9i Database Enterprise Edition PeopleSoft PeopleTools 8.x |
Уязвимые версии: Oracle Database 11g, версия 11.1.0.6 Oracle Database 10g Release 2, версии 10.2.0.2, 10.2.0.3, 10.2.0.4 Oracle Database 10g, версия 10.1.0.5 Oracle Database 9i Release 2, версии 9.2.0.8, 9.2.0.8DV Oracle Application Server 10g Release 3 (10.1.3), версии 10.1.3.3.0,10.1.3.4.0 Oracle Application Server 10g Release 2 (10.1.2), версии 10.1.2.2.0, 10.1.2.3.0 Oracle Application Server 10g (9.0.4), версия 9.0.4.3 Oracle E-Business Suite Release 12, версия 12.0.4 Oracle E-Business Suite Release 11i, версия 11.5.10.2 Oracle PeopleSoft Enterprise PeopleTools версии 8.48.18, 8.49.14 Oracle PeopleSoft Enterprise Portal версии 8.9, 9.0 Oracle JD Edwards EnterpriseOne Tools версии 8.97, 8.98 Oracle Application Server 9i Release 1, версия 1.0.2.2 Описание: 1. Уязвимость существует из-за ошибки в механизме аутентификации от PeopleTools. Удаленный пользователь может произвести брут-форс атаку. 2. Уязвимость существует из-за ошибки в Oracle DBMS. Удаленный пользователь может с помощью специально сформированного аутентификационного сообщения, отправленного серверу баз данных, обойти механизм аутентификации. Для успешной эксплуатации уязвимости должен использоваться "proxy authentication mode" и злоумышленник должен знать серийный номер существующей сессии и идентификатор сессии. 3. Уязвимость существует из-за наличия повышенных привилегий для учетной записи FLOWS в Oracle Application Express (APEX). 4. Уязвимость существует из-за недостаточной проверки входных данных в процедурах COMPRESSWORKSPACETREE, MERGEWORKSPACE, and REMOVEWORKSPACE в "LT" PL/SQL пакете компонента Oracle Workspace Manager. Удаленный пользователь может выполнить произвольные SQL команды с повышенными привилегиями (SYS или WMSYS). 5. Уязвимость существует из-за недостаточной проверки входных данных в процедурах COMPRESSSTATE и GOTOTS в пакете "LTADM" PL/SQL компонента Oracle Workspace Manager. Удаленный пользователь с привилегиями "EXECUTE" для пакета [WM]SYS.LTADM может выполнить произвольные SQL команды с повышенными привилегиями (SYS или WMSYS). 6. Уязвимость существует из-за недостаточной обработки входных данных в процедуре ALTER_AUTOLOG_CHANGE_SOURCE в "DBMS_CDC_PUBLISH" PL/SQL пакете. Удаленный пользователь с привилегиями "EXECUTE" для пакета SYS.DBMS_CDC_PUBLISH может выполнить произвольные SQL команды с повышенными привилегиями (SYS). 7. Уязвимость существует из-за недостаточной проверки входных данных в процедуре ALTER_HOTLOG_INTERNAL_CSOURCE в пакете "DBMS_CDC_IPUBLISH" PL/SQL. Удаленный пользователь с привилегиями EXECUTE для пакета SYS.DBMS_CDC_IPUBLISH может выполнить произвольные SQL команды с повышенными привилегиями (SYS). Подробности других уязвимостей не разглашаются. URL производителя: www.oracle.com Решение: Установите исправление с сайта производителя. Журнал изменений:
29.03.2009 |
|
Ссылки: | Oracle Critical Patch Update Advisory - October 2008 |
|
http://www.appsecinc.com/resources/alerts/oracle/2008-08.shtml http://www.appsecinc.com/resources/alerts/oracle/2008-09.shtml http://www.appsecinc.com/resources/alerts/oracle/2008-10.shtml http://www.appsecinc.com/resources/alerts/oracle/2008-11.shtml http://www.petefinnigan.com/Advisory_CPU_Oct_2008.htm http://lists.grok.org.uk/pipermail/full-disclosure/2008-October/065146.html http://lists.grok.org.uk/pipermail/full-disclosure/2008-October/065147.html |