Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Jobba på CERT-SE? Nu söker vi en förvaltningsledare IT inom cybersäkerhet med sista ansökningsdag 17 augusti, samt en administrativ stjärna med it-säkerhetskunskap till vår desk med sista ansökningsdag 23 augusti.

Uppdaterad | Publicerad - Sårbarhet

SR05-083 Oracle - Allvarliga sårbarheter i flertalet produkter

Publicerad: 050713

Problembeskrivning:
CVE-referens: CAN-2005-2291, CAN-2005-2292, CAN-2005-2293, CAN-2005-2294 Gerhard Eschelbeck, Esteban Martinez Fay, Alexander Kornbrust, Stephen Kost, David Litchfield, Michael Murray, Aaron C. Newman och Mike Suel har upptäckt ett antal sårbarheter i Oracles produkter. Effekten av sårbarheterna kan variera från dataåtkomst till kodexekvering av godtycklig kod på systemet.

När det gäller sårbarheter i Oracle Database Server kan en fjärran angripare utnyttja kontot APPLSYSPUB via en SQL*NET-uppkoppling, vilket medför möjligheter till att köra godtyckliga SQL-kommandon samt "SQL injection".

När det gäller sårbarheter i Oracle Application Server kan en fjärran angripare komma åt lösenordet för APPS-kontot, samt att "Forms Server" går att krasha genom en blockeringsattack.

När det gäller sårbarheter i Oracle E-Business Suite så är produkten sårbar för 2 stycken olika typer av "SQL injection", vilka kan leda till buffertöverflödning med exekvering av godtycklig kod som följd.

Påverkade versioner:
Oracle Database 10g Release 1, versioner 10.1.0.2, 10.1.0.3, 10.1.0.4
Oracle9i Database Server Release 2, versioner 9.2.0.5, 9.2.0.6
Oracle9i Database Server Release 1, versioner 9.0.1.4, 9.0.1.5, 9.0.1.5 FIPS
Oracle8i Database Server Release 3, version 8.1.7.4
Oracle8 Database Release 8.0.6, version 8.0.6.3
Oracle Enterprise Manager Grid Control 10g, versioner 10.1.0.2, 10.1.0.3
Oracle Enterprise Manager 10g Database Control, versioner 10.1.0.2, 10.1.0.3, 10.1.0.4
Oracle Enterprise Manager Application Server Control, versioner 9.0.4.0, 9.0.4.1
Oracle Application Server 10g (9.0.4), versioner 9.0.4.0, 9.0.4.1
Oracle9i Application Server Release 2, versioner 9.0.2.3, 9.0.3.1
Oracle9i Application Server Release 1, version 1.0.2.2
Oracle Collaboration Suite Release 2, versioner 9.0.4.1, 9.0.4.2
Oracle E-Business Suite och Applications Release 11i, versioner 11.5.1 through 11.5.10
Oracle E-Business Suite och Applications Release 11.0
Oracle Workflow, versioner 11.5.1 through 11.5.9.5
Oracle Forms och Reports, versioner 4.5.10.22, 6.0.8.25
Oracle JInitiator, versioner 1.1.8, 1.3.1
Oracle Developer Suite, versioner 9.0.2.3, 9.0.4, 9.0.4.1, 9.0.5, 10.1.2
Oracle Express Server, version 6.3.4.0

Uppdatering:
http://www.oracle.com/technology/deploy/security/pdf/cpujul2005.html

Mer information:
http://www.integrigy.com/analysis.htm
http://www.oracle.com/technology/deploy/security/pdf/cpujul2005.html

versionerhistorik:
050713: Särskilt råd skapat.
050719: Uppdatering - CVE-referenser.