21 Июля 2006 10:07 21 Июл 2006 10:07 |

Поделиться

В продуктах Oracle закрыты опасные уязвимости

Уязвимость существует из-за недостаточной обработки входных данных в процедурах «IMPORT_CHANGE_SET», «IMPORT_CHANGE_TABLE», «IMPORT_CHANGE_COLUMN», «IMPORT_SUBSCRIBER», «IMPORT_SUBSCRIBED_TABLE», «IMPORT_SUBSCRIBED_COLUMN», «VALIDATE_IMPORT», «VALIDATE_CHANGE_SET», «VALIDATE_CHANGE_TABLE» и «VALIDATE_SUBSCRIPTION» из пакета «sys.dbms_cdc_impdp». Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL-команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL-функций.

Уязвимость существует из-за недостаточной обработки входных данных в процедуре «MAIN» в пакете «sys.kupw$worker». Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL-команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL-функций.

Уязвимость существует из-за недостаточной обработки входных данных в пакете «sys.dbms_stats». Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL-команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL-функций.

Уязвимость существует из-за недостаточной обработки входных данных в пакете «sys.dbms_upgrade». Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL-команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL-функций.

Никита Лопатин, Setl Group: Как строители контролируют качество с помощью лазерного сканирования

Цифровизация

«Дырам» присвоен рейтинг опасности «высокая». Уязвимы JD Edwards EnterpriseOne 8.x; JD Edwards OneWorld 8.x; Oracle Application Server 10g; Oracle Collaboration Suite 10.x; Oracle Database 10g; Oracle Database 8.x; Oracle E-Business Suite 11i; Oracle Enterprise Manager 10.x; Oracle PeopleSoft Enterprise Tools 8.x; Oracle Pharmaceutical Applications 4.x; Oracle Workflow 11.x; Oracle9i Application Server; Oracle9i Collaboration Suite; Oracle9i Database Enterprise Edition; Oracle9i Database Standard Edition; Oracle9i Developer Suite.

Для использования уязвимостей пока нет эксплойта. Для решения проблемы установите исправление с сайта производителя, сообщил Securitylab.

Поделиться

Подписаться на новости Короткая ссылка