В продуктах Oracle закрыты опасные уязвимости
Эксперты по информационной безопасности обнаружили множественные уязвимости в продуктах Oracle. Обнаруженные уязвимости позволяют удаленному пользователю произвести SQL-инъекцию и скомпрометировать целевую систему. Компания-производитель выпустила соответствующий патч.
Уязвимость существует из-за недостаточной обработки входных данных в процедурах "IMPORT_CHANGE_SET", "IMPORT_CHANGE_TABLE", "IMPORT_CHANGE_COLUMN", "IMPORT_SUBSCRIBER", "IMPORT_SUBSCRIBED_TABLE", "IMPORT_SUBSCRIBED_COLUMN", "VALIDATE_IMPORT", "VALIDATE_CHANGE_SET", "VALIDATE_CHANGE_TABLE" и "VALIDATE_SUBSCRIPTION" из пакета "sys.dbms_cdc_impdp". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.
Уязвимость существует из-за недостаточной обработки входных данных в процедуре "MAIN" в пакете "sys.kupw$worker". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.
Уязвимость существует из-за недостаточной обработки входных данных в пакете "sys.dbms_stats". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.
Уязвимость существует из-за недостаточной обработки входных данных в пакете "sys.dbms_upgrade". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.
"Дырам" присвоен рейтинг опасности "высокая". Уязвимы JD Edwards EnterpriseOne 8.x; JD Edwards OneWorld 8.x; Oracle Application Server 10g; Oracle Collaboration Suite 10.x; Oracle Database 10g; Oracle Database 8.x; Oracle E-Business Suite 11i; Oracle Enterprise Manager 10.x; Oracle PeopleSoft Enterprise Tools 8.x; Oracle Pharmaceutical Applications 4.x; Oracle Workflow 11.x; Oracle9i Application Server; Oracle9i Collaboration Suite; Oracle9i Database Enterprise Edition; Oracle9i Database Standard Edition; Oracle9i Developer Suite.
Для использования уязвимостей пока нет эксплойта. Для решения проблемы установите исправление с сайта производителя, сообщил Securitylab.
Уязвимость существует из-за недостаточной обработки входных данных в процедурах "IMPORT_CHANGE_SET", "IMPORT_CHANGE_TABLE", "IMPORT_CHANGE_COLUMN", "IMPORT_SUBSCRIBER", "IMPORT_SUBSCRIBED_TABLE", "IMPORT_SUBSCRIBED_COLUMN", "VALIDATE_IMPORT", "VALIDATE_CHANGE_SET", "VALIDATE_CHANGE_TABLE" и "VALIDATE_SUBSCRIPTION" из пакета "sys.dbms_cdc_impdp". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.
Уязвимость существует из-за недостаточной обработки входных данных в процедуре "MAIN" в пакете "sys.kupw$worker". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.
Уязвимость существует из-за недостаточной обработки входных данных в пакете "sys.dbms_stats". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.
Уязвимость существует из-за недостаточной обработки входных данных в пакете "sys.dbms_upgrade". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.
"Дырам" присвоен рейтинг опасности "высокая". Уязвимы JD Edwards EnterpriseOne 8.x; JD Edwards OneWorld 8.x; Oracle Application Server 10g; Oracle Collaboration Suite 10.x; Oracle Database 10g; Oracle Database 8.x; Oracle E-Business Suite 11i; Oracle Enterprise Manager 10.x; Oracle PeopleSoft Enterprise Tools 8.x; Oracle Pharmaceutical Applications 4.x; Oracle Workflow 11.x; Oracle9i Application Server; Oracle9i Collaboration Suite; Oracle9i Database Enterprise Edition; Oracle9i Database Standard Edition; Oracle9i Developer Suite.
Для использования уязвимостей пока нет эксплойта. Для решения проблемы установите исправление с сайта производителя, сообщил Securitylab.
Ещё новости по теме:
18:20