Показано с 1 по 1 из 1.

Множественные уязвимости в Oracle

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3704

    Множественные уязвимости в Oracle

    19 июля, 2006

    Программа:

    JD Edwards EnterpriseOne 8.x
    JD Edwards OneWorld 8.x
    Oracle Application Server 10g
    Oracle Collaboration Suite 10.x
    Oracle Database 10g
    Oracle Database 8.x
    Oracle E-Business Suite 11i
    Oracle Enterprise Manager 10.x
    Oracle PeopleSoft Enterprise Tools 8.x
    Oracle Pharmaceutical Applications 4.x
    Oracle Workflow 11.x
    Oracle9i Application Server
    Oracle9i Collaboration Suite
    Oracle9i Database Enterprise Edition
    Oracle9i Database Standard Edition
    Oracle9i Developer Suite

    Опасность: Высокая

    Наличие эксплоита: Нет

    Описание:
    Обнаруженные уязвимости позволяют удаленному пользователю произвести SQL-инъекцию и скомпрометировать целевую систему.

    Данные раскрыты по следующим уязвимостям:
    1. Уязвимость существует из-за недостаточной обработки входных данных в процедурах "IMPORT_CHANGE_SET", "IMPORT_CHANGE_TABLE", "IMPORT_CHANGE_COLUMN", "IMPORT_SUBSCRIBER", "IMPORT_SUBSCRIBED_TABLE", "IMPORT_SUBSCRIBED_COLUMN", "VALIDATE_IMPORT", "VALIDATE_CHANGE_SET", "VALIDATE_CHANGE_TABLE" и "VALIDATE_SUBSCRIPTION" из пакета "sys.dbms_cdc_impdp". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.

    2. Уязвимость существует из-за недостаточной обработки входных данных в процедуре "MAIN" в пакете "sys.kupw$worker". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.

    3. Уязвимость существует из-за недостаточной обработки входных данных в пакете "sys.dbms_stats". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.

    4. Уязвимость существует из-за недостаточной обработки входных данных в пакете "sys.dbms_upgrade". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.


    URL производителя: www.oracle.com

    Решение: Установите исправление с сайта производителя.

    securitylab.ru
    Left home for a few days and look what happens...

  2. Реклама
     

Похожие темы

  1. Множественные уязвимости в продуктах Oracle
    От ALEX(XX) в разделе Уязвимости
    Ответов: 0
    Последнее сообщение: 20.01.2009, 20:23
  2. Множественные уязвимости в продуктах Oracle
    От ALEX(XX) в разделе Уязвимости
    Ответов: 0
    Последнее сообщение: 16.07.2008, 20:55
  3. Множественные уязвимости в продуктах Oracle
    От ALEX(XX) в разделе Уязвимости
    Ответов: 0
    Последнее сообщение: 18.01.2008, 21:51
  4. Множественные уязвимости в продуктах Oracle
    От ALEX(XX) в разделе Уязвимости
    Ответов: 0
    Последнее сообщение: 19.07.2007, 14:50
  5. Множественные уязвимости в продуктах Oracle
    От ALEX(XX) в разделе Уязвимости
    Ответов: 0
    Последнее сообщение: 19.07.2005, 20:59

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01395 seconds with 18 queries