Board logo

标题: Oracle产品多个漏洞 [打印本页]
作者: pioneer     时间: 2008-7-17 17:31    标题: Oracle产品多个漏洞

来源

secunia.com

软件名

Oracle9i Database Standard Edition

Oracle9i Database Enterprise Edition

Oracle9i Application Server

Oracle Times-Ten In-Memory Database 7.x

Oracle PeopleSoft Enterprise Tools 8.x

Oracle PeopleSoft Enterprise Customer Relationship  
Management (CRM)
9.x

Oracle Hyperion Performance Suite 8.x

Oracle Hyperion Business Intelligence Plus 9.x

Oracle Enterprise Manager 10.x

Oracle E-Business Suite 12.x

Oracle E-Business Suite 11i

Oracle Database 11.x

Oracle Database 10.x

Oracle Application Server 10g

BEA WebLogic Server 9.x

BEA WebLogic Server 8.x

BEA WebLogic Server 7.x

BEA WebLogic Server 6.x

BEA WebLogic Server 10.x

BEA WebLogic Express 9.x

BEA WebLogic Express 10.x

BEA WebLogic Express 7.x

BEA WebLogic Express 8.x


描述

1)Oracle HTTP Server中存在一个不特定的错误
2)Oracle Internet Directory中的一个空指针被提领错误可
通过发送特定的LDAP请求到端口389/TCP或端口636/TCP来导
致拒绝服务
3)Oracle Database的DBMS_AQELM包中的一个越界访问错误可
通过发送作为参数的超大字串到一个进程来导致缓冲溢出
4)在setuid root程序中使用了不可信的库路径的错误可导致
获得root权限
成功执行需要访问database拥有者的帐户(一般是"oracle")
或作为oracle安装群组的成员(一般是"oinstall")
5)传递到"WWV_RENDER_REPORT"包的"SHOW"进程的输入在用来
使用前没有准确过滤,这可通过注入特定的PLSQL代码来操控
PLSQL声明
成功执行允许通过front end web server来获得backend  
Oracle database server的完全控制权限


6)ForeignJMS组件和 WebLogic console 或server log中的
一个不特定漏洞可导致泄露敏感信息
7)Console/WLST的WebLogic Server中的一些不特定漏洞可获
得扩大权限
8)WebLogic plug-ins for Apache, Sun和IIS Web server的
WebLogic Server中的一个不特定漏洞可导致泄露敏感信息
9)处理JSP页面时WebLogic Server中的一个不特定漏洞可导
致泄露敏感信息
10)UDDI Explorer的WebLogic Server中的一个不特定漏洞可
导致危害一个受影响的系统
11)WebLogic Server中的一个不特定漏洞可导致拒绝服务
剩下的漏洞可导致不特定错误,目前没有更详细信息


该漏洞在以下产品和版本中已经报告
* Oracle Database 11g, version 11.1.0.6
* Oracle Database 10g Release 2, versions 10.2.0.2,  
10.2.0.3,
10.2.0.4
* Oracle Database 10g, version 10.1.0.5
* Oracle Database 9i Release 2, versions 9.2.0.8,  
9.2.0.8DV
* Oracle TimesTen In-Memory Database version  
7.0.3.0.0
* Oracle Application Server 10g Release 3 (10.1.3),  
versions
10.1.3.1.0, 10.1.3.3.0
* Oracle Application Server 10g Release 2 (10.1.2),  
versions
10.1.2.2.0, 10.1.2.3.0
* Oracle Application Server 10g (9.0.4), version  
9.0.4.3
* Oracle Hyperion BI Plus version 9.2.0.3,  
9.2.1.0,and 9.3.1.0
* Oracle Hyperion Performance Suite version 8.3.2.4,  
and 8.5.0.3
* Oracle E-Business Suite Release 12, version 12.0.4
* Oracle E-Business Suite Release 11i, version  
11.5.10.2
* Oracle Enterprise Manager Database Control 11i  
version 11.1.0.6
* Oracle Enterprise Manager Database Control 10g  
Release 2, versions
10.2.0.2, 10.2.0.3, 10.2.0.4
* Oracle Enterprise Manager Database Control 10g  
Release 1, version
10.1.0.5
* Oracle Enterprise Manager Grid Control 10g Release  
1, versions
10.1.0.5, 10.1.0.6
* Oracle PeopleSoft Enterprise PeopleTools versions  
8.48.17, 8.49.11
* Oracle PeopleSoft Enterprise CRM version 8.9, 9.0
* Oracle WebLogic Server (formerly BEA WebLogic  
Server) 10.0 released
through MP1
* Oracle WebLogic Server (formerly BEA WebLogic  
Server) 9.0, 9.1, 9.2
released through MP3
* Oracle WebLogic Server (formerly BEA WebLogic  
Server) 8.1 released
through SP6
* Oracle WebLogic Server (formerly BEA WebLogic  
Server) 7.0 released
through SP7
* Oracle WebLogic Server (formerly BEA WebLogic  
Server) 6.1 released
through SP7

解决方案

应用补丁(详见厂商建议细节)



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn