Программа:
JD Edwards EnterpriseOne 8.x
Oracle Application Server 10g
Oracle Collaboration Suite Release 1
Oracle Collaboration Suite Release 2
Oracle Database 8.x
Oracle Database Server 10g
Oracle Developer Suite 10g
Oracle E-Business Suite 11i
Oracle Enterprise Manager 10.x
Oracle9i Application Server
Oracle9i Database Enterprise Edition
Oracle9i Database Standard Edition
Oracle9i Developer Suite
PeopleSoft Enterprise Portal 8.x
Обнаружено несколько уязвимостей в различных продуктах Oracle, которые позволяют удаленному
пользователю получить доступ к потенциально важным данным, перезаписать
произвольные файлы на системе и выполнить SQL команды.
1. Уязвимость существует из-за недостаточной обработки входных данных в
различных параметрах в процедурах DBMS_DATAPUMP, DBMS_REGISTRY, DBMS_CDC_UTILITY,
DBMS_CDC_PUBLISH, DBMS_METADATA_UTIL и DBMS_METADATA_INT в пакетах Oracle PL/SQL.
Злоумышленник может выполнить произвольные SQL команды в базе данных.
2. Уязвимость существует из-за недостаточной обработки входных данных в
процедурах ATTACH_JOB, HAS_PRIVS и OPEN_JOB в пакете SYS.KUPV$FT. Злоумышленник
может выполнить произвольные SQL команды в базе данных. Уязвимость обнаружена в
Oracle 10g Release 1
3. Уязвимость обнаружена в нескольких процедурах в пакете SYS.KUPV$FT_INT.
Злоумышленник может выполнить произвольные SQL команды в базе данных. Уязвимость
обнаружена в Oracle 10g Release 1
4. Ошибка дизайна обнаружена в Oracle TDE (Transparent Data Encryption) wallet,
которая позволяет сохранить пароль и главный ключ в незашифрованном виде.
Уязвимость существует в Oracle Database 10g Release 2 version 10.2.0.1
5. Обнаружены ошибки в компонентах Reports в Application Server, которые
позволяют злоумышленнику перезаписать произвольные файлы на системе. Уязвимость
существуют в версиях 1.0.2.0 по 10.1.0.2.
6. Уязвимость обнаружена при обработке входных данных в атрибуте
AUTH_ALTER_SESSION в аутентификационном сообщении TNS. Удаленный пользователь
может выполнить произвольные SQL команды в базе данных приложения с привилегиями
пользователя SYS. Уязвимость существует в Oracle 8i (8.1.7.x.x), Oracle 9i
(9.2.0.7), Oracle 10g Release 1 (10.1.0.4.2) и Oracle 10g Release 2
(10.2.0.1.0).