Программа:
JD Edwards EnterpriseOne Tools 8.x
JD Edwards OneWorld Tools 8.x
Oracle Application Server 10g
Oracle Collaboration Suite 10.x
Oracle Database 10.x
Oracle E-Business Suite 11i
Oracle E-Business Suite 12.x
Oracle Enterprise Manager 9.x
Oracle PeopleSoft Enterprise Human Capital Management 8.x
Oracle PeopleSoft Enterprise Tools 8.x
Oracle Secure Enterprise Search 10.x
Oracle9i Database Enterprise Edition
Oracle9i Database Standard Edition
Найденные уязвимости позволяют удаленному злоумышленнику осуществить DoS атаку, выполнить XSS нападение, обойти ограничения безопасности и выполнить произвольные SQL команды в базе данных приложения.
1) Уязвимость возникает из-за ошибки в проверке входных данных при обработке "TNS STOP" команд в Oracle Discoverer Servlet. Эксплуатирование уязвимости приведет к отказу в обслуживании Oracle TNS
Listener.
2) Уязвимость возникает из-за ошибки в проверке входных данных в параметре "expType" в search/admin/sources/boundary_rules.jsp в Oracle Secure Enterprise Search. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
3) Уязвимость возникает из-за ошибки в проверке входных данных при обработке SQL запросов пакетами DBMS_AQADM_SYS и DBMS_UPGRADE_INTERNAL. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
4) Уязвимость возникает из-за ошибки позволяющей обойти триггер входа в базу данных
Oracle.
