Множественные уязвимости в продуктах Oracle

Рекомендуем почитать:

Xakep #299. Sysmon

Программа:
JD Edwards EnterpriseOne 8.x
Oracle Application Server 10g
Oracle Collaboration Suite Release 1
Oracle Collaboration Suite Release 2
Oracle Database 8.x
Oracle Database Server 10g
Oracle Developer Suite 10g
Oracle E-Business Suite 11i
Oracle Enterprise Manager 10.x
Oracle9i Application Server
Oracle9i Database Enterprise Edition
Oracle9i Database Standard Edition
Oracle9i Developer Suite
PeopleSoft Enterprise Portal 8.x

Обнаружено несколько уязвимостей в различных продуктах Oracle, которые позволяют удаленному
пользователю получить доступ к потенциально важным данным, перезаписать
произвольные файлы на системе и выполнить SQL команды.

1. Уязвимость существует из-за недостаточной обработки входных данных в
различных параметрах в процедурах DBMS_DATAPUMP, DBMS_REGISTRY, DBMS_CDC_UTILITY,
DBMS_CDC_PUBLISH, DBMS_METADATA_UTIL и DBMS_METADATA_INT в пакетах Oracle PL/SQL.
Злоумышленник может выполнить произвольные SQL команды в базе данных.

2. Уязвимость существует из-за недостаточной обработки входных данных в
процедурах ATTACH_JOB, HAS_PRIVS и OPEN_JOB в пакете SYS.KUPV$FT. Злоумышленник
может выполнить произвольные SQL команды в базе данных. Уязвимость обнаружена в
Oracle 10g Release 1

3. Уязвимость обнаружена в нескольких процедурах в пакете SYS.KUPV$FT_INT.
Злоумышленник может выполнить произвольные SQL команды в базе данных. Уязвимость
обнаружена в Oracle 10g Release 1

4. Ошибка дизайна обнаружена в Oracle TDE (Transparent Data Encryption) wallet,
которая позволяет сохранить пароль и главный ключ в незашифрованном виде.
Уязвимость существует в Oracle Database 10g Release 2 version 10.2.0.1

5. Обнаружены ошибки в компонентах Reports в Application Server, которые
позволяют злоумышленнику перезаписать произвольные файлы на системе. Уязвимость
существуют в версиях 1.0.2.0 по 10.1.0.2.

6. Уязвимость обнаружена при обработке входных данных в атрибуте
AUTH_ALTER_SESSION в аутентификационном сообщении TNS. Удаленный пользователь
может выполнить произвольные SQL команды в базе данных приложения с привилегиями
пользователя SYS. Уязвимость существует в Oracle 8i (8.1.7.x.x), Oracle 9i
(9.2.0.7), Oracle 10g Release 1 (10.1.0.4.2) и Oracle 10g Release 2
(10.2.0.1.0).

Множественные уязвимости в продуктах Oracle

Xakep #299. Sysmon

Подпишись на наc в Telegram!

Из рубрики «Взлом»

Как работает EDR. Подробно разбираем механизмы антивирусной защиты

WinAPI днем и ночью. Ищем способы обращения к нативному коду из C#

Обзор перспективных исследований. Колонка Дениса Макрушина

HTB Hospital. Получаем доступ к хосту через уязвимость Ghostscript

Трюки

Липовый соникс. Реверсим картридж Liposonix и пишем его эмулятор

Новая диета для Linux. Загружаем современный Linux, используя минимум памяти

Фишинг в соцсетях. Как социальные сети помогают хакерам

Сделай мне красиво! Изобретаем персональный нейросетевой фотоувеличитель

Последние новости

Банкер SoumniBot уклоняется от обнаружения с помощью обфускации манифеста Android

Эксперты нашли сеть вредоносных сайтов с картинками для кражи Telegram-аккаунтов

Фальшивые читы обманом вынуждают геймеров распространять малварь

Правоохранители закрыли фишинговую платформу LabHost

Исследователи нашли сайт, торгующий миллиардами сообщений из Discord