Программа:
Oracle Application Server 10g
Oracle Collaboration Suite 10.x
Oracle Database 10.x
Oracle Database 11.x
Oracle E-Business Suite 11i
Oracle E-Business Suite 12.x
Oracle JInitiator 1.x
Oracle PeopleSoft Enterprise Human Capital Management 8.x
Oracle PeopleSoft Enterprise Human Capital Management 9.x
Oracle PeopleSoft Enterprise Tools 8.x
Oracle Siebel SimBuilder 7.x
Oracle9i Database Enterprise Edition
Oracle9i Database Standard Edition
Найденные уязвимости позволяют удаленному злоумышленнику осуществить DoS
атаку, обойти ограничения безопасности и выполнить произвольный SQL код в базе
данных приложения.
1) Уязвимость существует из-за ошибки в проверке входных данных, передаваемых
через некоторые параметры в SDO_GEOM, SDO_IDX, и SDO_UTIL пакеты. Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения.
2) Уязвимость существует из-за того, что пакет DBMS_STATS_INTERNAL сбрасывает
пароль OUTLN в значение по умолчанию и предоставляет привилегии DBA для OUTLN
пользователя во время создания представления данных.
