pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#1 Oracle多个漏洞
来源
secunia.com
软件名
Oracle Database 10.x
Oracle9i Database Enterprise Edition
Oracle9i Database Standard Edition
Oracle Application Server 10g
Oracle Collaboration Suite 10.x
Oracle E-Business Suite 12.x
Oracle E-Business Suite 11i
Oracle Enterprise Manager 10.x
Oracle PeopleSoft Enterprise Tools 8.x
Oracle PeopleSoft Enterprise Human Capital Management 8.x
Oracle PeopleSoft Enterprise Human Capital Management 9.x
描述
可泄漏敏感信息、执行SQL的注入攻击或导致拒绝服务,其它影响尚不确定
1)Oracle TNS Listener的GIOP服务处理GIOP包时输入的一个有效错误,可通过一个特定的包来崩溃TNS Listener 或潜在泄漏敏感信息
2)由CTX_DOC包处理的特定的输入,在使用SQL前没有被准确过滤,可通过THEMES, GIST, TOKENS, FILTER, HIGHLIGHT和MARKUP进程注入任意sql代码来操控sql查询
3)Oracle RDBMS在处理TNS数据包时的一个错误,可通过一个特定顺序的包来导致占用较高CPU资源
4)由LT包处理的特定输入,在FINDRICSET包中使用SQL前没有被准确过滤,可通过FINDRICSET进程注入任意sql代码来操控sql查询
成功执行需要攻击者获得"SYS"权限
5)Oracle XML DB ftp中的一个错误可导致audit trail中不正确的"USERID"访问
解决方案
应用补丁(详见厂商建议)
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
