Программа:
JD Edwards EnterpriseOne Tools 8.x
JD Edwards OneWorld Tools 8.x
Oracle Application Express 1.x
Oracle Application Express 2.x
Oracle Application Server 10g
Oracle Collaboration Suite 10.x
Oracle Database 10g
Oracle Database 8.x
Oracle Developer Suite 10g
Oracle E-Business Suite 11i
Oracle PeopleSoft Enterprise Portal Solutions 8.x
Oracle PeopleSoft Enterprise Tools 8.x
Oracle Pharmaceutical Applications 4.x
Oracle9i Application Server
Oracle9i Collaboration Suite
Oracle9i Database Enterprise Edition
Oracle9i Database Standard Edition
Oracle9i Developer Suite
1) Уязвимость позволяет удаленному злоумышленнику выполнить SQL-инъекцию, осуществить DoS атаку и выполнить другие нападения на целевую систему.
Уязвимость существует из-за ошибки проверки входных данных следующими пакетами:
DBMS_XDBZ
SDO_DROP_USER_BEFORE
MD2
DBMS_CDC_IMPDP
DBMS_CDC_IPUBLISH
DBMS_CDC_ISUBSCRIBE
DBMS_SQLTUNE
SDO_GEOR_INT
XDB_PITRIG_PKG
SDO_DROP_USER
SDO_CS
Злоумышленник может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
2) Уязвимость существует из-за ошибки проверки границ входных данных в функциях RELATE, входящих в пакеты MD2 и SDO_GEOM; в функции GEOM_OPERATION из пакета SDO_3GL; и в функции TRANSFORM_LAYER, входящую в пакет SDO_CS. Атакующий может осуществить переполнение буфера.
