Множественные уязвимости в продуктах Oracle
| Дата публикации: | 17.01.2007 |
| Всего просмотров: | 3699 |
| Опасность: | Высокая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2001-0729 CVE-2006-2940 CVE-2006-3738 CVE-2006-4343 CVE-2006-4339 CVE-2007-0222 CVE-2007-0268 CVE-2007-0269 CVE-2007-0270 CVE-2007-0271 CVE-2007-0272 CVE-2007-0273 CVE-2007-0274 CVE-2007-0275 CVE-2007-0276 CVE-2007-0277 CVE-2007-0278 CVE-2007-0279 CVE-2007-0280 CVE-2007-0281 CVE-2007-0282 CVE-2007-0283 CVE-2007-0284 CVE-2007-0285 CVE-2007-0286 CVE-2007-0287 CVE-2007-0288 CVE-2007-0289 CVE-2007-0290 CVE-2007-0291 CVE-2007-0292 CVE-2007-0293 CVE-2007-0294 CVE-2007-0295 CVE-2007-0296 CVE-2007-0297 CVE-2007-5561 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Отказ в обслуживании Раскрытие важных данных Неавторизованное изменение данных Обход ограничений безопасности Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Oracle9i Database Standard Edition
Oracle9i Database Enterprise Edition Oracle E-Business Suite 11i Oracle9i Application Server Oracle Enterprise Manager 10.x Oracle Application Server 10g Oracle Database 10.x Oracle Developer Suite 10g Oracle9i Developer Suite Oracle PeopleSoft Enterprise Tools 8.x |
| Уязвимые версии: Oracle Database 10g Oracle Application Server 10g Oracle E-Business Suite 11i Oracle Enterprise Manager 10.x Oracle PeopleSoft Enterprise Tools 8.x Oracle9i Database Enterprise Edition Oracle9i Database Standard Edition Oracle Developer Suite 10g Oracle9i Developer Suite Oracle9i Application Server Описание: Подробности известны по следующим уязвимостям: 1. Уязвимость существует из-за ошибки проверки границ данных в ONS (Oracle Notification Service). Удаленный пользователь может послать приложению специально сформированный пакета на порт 6200/TCP, вызвать переполнение буфера и выполнить произвольный код на целевой системе. 2. Уязвимость существует из-за недостаточной обработки входных данных в Oracle XML DB. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 3. Уязвимость существует из-за недостаточной обработки входных данных в пакете DBMS_AQ_INV. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. 4. Уязвимость существует из-за недостаточной обработки входных данных в EmChartBean. Удаленный пользователь может с помощью символов обхода каталога получить доступ к произвольным файлам на системе. URL производителя: www.oracle.com Решение: Установите исправление с сайта производителя. |
|
| Ссылки: |
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html http://www.red-database-security.com/advisory/oracle_buffer_overflow_ons.html http://www.red-database-security.com/advisory/oracle_xmldb_css2.html http://www.red-database-security.com/advisory/oracle_sql_injection_dbms_aq_inv.html http://www.symantec.com/enterprise/research/SYMSA-2007-001.txt |