国产探花免费观看_亚洲丰满少妇自慰呻吟_97日韩有码在线_资源在线日韩欧美_一区二区精品毛片,辰东完美世界有声小说,欢乐颂第一季,yy玄幻小说排行榜完本

首頁 > 數(shù)據(jù)庫 > Oracle > 正文

Oracle 2008年7月緊急補丁更新修復(fù)多個漏洞

2024-08-29 13:53:03
字體:
供稿:網(wǎng)友

  Oracle Database是一款商業(yè)性質(zhì)大型數(shù)據(jù)庫系統(tǒng)。Oracle發(fā)布了2008年7月的緊急補丁更新公告,修復(fù)了多個Oracle產(chǎn)品中的多個漏洞。這些漏洞影響Oracle產(chǎn)品的所有安全屬性,可導(dǎo)致本地和遠程的威脅。其中一些漏洞可能需要各種級別的授權(quán),但也有些不需要任何授權(quán)。最嚴重的漏洞可能導(dǎo)致完全入侵數(shù)據(jù)庫系統(tǒng)。

  發(fā)布日期:2008-07-15

  更新日期:2008-07-16

  受影響系統(tǒng):

  Oracle application Server 9.0.4.3

  Oracle Application Server 10.1.3.3.0

  Oracle Application Server 10.1.3.1.0

  Oracle Application Server 10.1.2.3.0

  Oracle Application Server 10.1.2.2.0

  Oracle E-Business Suite 12.0.4

  Oracle E-Business Suite 11.5.10.2

  Oracle EnterPRise Manager Grid Control 10.1.0.6

  Oracle Enterprise Manager Grid Control 10.1.0.5

  Oracle PeopleSoft CRM 9.0

  Oracle PeopleSoft CRM 8.9

  Oracle Database 9.2.0.8DV

  Oracle Database 9.2.0.8

  Oracle Database 11.1.0.6

  Oracle Database 10.2.0.4

  Oracle Database 10.2.0.3

  Oracle Database 10.2.0.2

  Oracle Database 10.1.0.5

  Oracle PeopleSoft Enterprise PeopleTools 8.49.11

  Oracle PeopleSoft Enterprise PeopleTools 8.48.17

  Oracle TimesTen In-Memory Database 7.0.3.0.0

  Oracle Hyperion BI Plus 9.3.1.0

  Oracle Hyperion BI Plus 9.2.1.0

  Oracle Hyperion BI Plus 9.2.0.3

  Oracle Hyperion Performance Suite 8.5.0.3

  Oracle Hyperion Performance Suite 8.3.2.4

  Oracle Enterprise Manager Database Control 11.1.0.6

  Oracle Enterprise Manager Database Control 10.2.0.4

  Oracle Enterprise Manager Database Control 10.2.0.3

  Oracle Enterprise Manager Database Control 10.2.0.2

  Oracle Enterprise Manager Database Control 10.1.0.5

  Oracle WebLogic Server 9.2

  Oracle WebLogic Server 9.1

  Oracle WebLogic Server 9.0

  Oracle WebLogic Server 8.1

  Oracle WebLogic Server 7.0

  Oracle WebLogic Server 6.1

  Oracle WebLogic Server 10.0

  描述:

  —————————————————————————-

  BUGTRAQ ID: 30177

  CVE(CAN) ID: CVE-2008-2607,CVE-2008-2613,CVE-2008-2592,CVE-2008-2604,CVE-2008-2591,CVE-2008-2600,CVE-2008-2602,CVE-2008-2605,CVE-2008-2611,CVE-2008-2608,CVE-2008-2590,CVE-2008-2603,CVE-2008-2587,CVE-2008-2597,CVE-2008-2598,CVE-2008-2599,CVE-2008-2589,CVE-2008-2594,CVE-2008-2609,CVE-2008-2595,CVE-2008-2612,CVE-2008-2614,CVE-2008-2583,CVE-2008-2593,CVE-2008-2596,CVE-2008-2601,CVE-2008-2586,CVE-2008-2606,CVE-2008-2610,CVE-2008-2615,CVE-2008-2622,CVE-2008-2616,CVE-2008-2617,CVE-2008-2618,CVE-2008-2620,CVE-2008-2621,CVE-2008-2579,CVE-2008-2581,CVE-2008-2582,CVE-2008-2577,CVE-2008-2578,CVE-2008-2576,CVE-2008-2580

  Oracle Database是一款商業(yè)性質(zhì)大型數(shù)據(jù)庫系統(tǒng)。

  Oracle發(fā)布了2008年7月的緊急補丁更新公告,修復(fù)了多個Oracle產(chǎn)品中的多個漏洞。這些漏洞影響Oracle產(chǎn)品的所有安全屬性,可導(dǎo)致本地和遠程的威脅。其中一些漏洞可能需要各種級別的授權(quán),但也有些不需要任何授權(quán)。最嚴重的漏洞可能導(dǎo)致完全入侵數(shù)據(jù)庫系統(tǒng)。目前已知的漏洞包括:

  Oracle應(yīng)用服務(wù)器在后端數(shù)據(jù)庫安裝了一些PLSQL軟件包,其中的WWV_RENDER_REPORT軟件包存在PLSQL注入漏洞。SHOW過程取將要執(zhí)行的函數(shù)名稱作為其第二個參數(shù),而該參數(shù)未經(jīng)過濾便嵌入了PLSQL的動態(tài)執(zhí)行匿名塊。由于是匿名PLSQL塊,因此攻擊者可以通過在execute immediate中包裝語句并指定autonomous_transaction pragma來執(zhí)行任意SQL語句。

  linux和Unix平臺的Oracle數(shù)據(jù)庫所發(fā)布的一個set-uid程序中存在安全漏洞。如果該程序加載了被替換過的模塊的話,就會導(dǎo)致以root用戶權(quán)限執(zhí)行任意代碼。如果要利用這個漏洞,攻擊者必須可以訪問數(shù)據(jù)庫所有者帳號(通常為oracle)或為oracle安裝組的成員(通常為oinstall)。

  Oracle的Internet Directory服務(wù)由兩個進程組成,一個為處理入站連接并將連接傳送給第二個進程的監(jiān)聽程序,另一個用于處理請求。在處理畸形的LDAP請求時,處理程序可能會引用空指針,導(dǎo)致進程崩潰。如果要利用這個漏洞,攻擊者必須能夠在有漏洞的服務(wù)器上創(chuàng)建LDAP會話,通常通過TCP 389端口或啟用了SSL的TCP 636端口。

  Oracle數(shù)據(jù)庫產(chǎn)品所安裝的DBMS_AQELM軟件包沒有正確地驗證用戶輸入,如果遠程攻擊者在請求中提供了超長字符串的話就可以觸發(fā)緩沖區(qū)溢出,導(dǎo)致以數(shù)據(jù)庫用戶的權(quán)限執(zhí)行任意代碼。如果要利用這個漏洞,攻擊者必須擁有可執(zhí)行DBMS_AQELM軟件包權(quán)限的數(shù)據(jù)庫帳號,默認為AQ_ADMINISTRATOR_ROLE。

  <*來源:Esteban Martinez Fayo

  Alexander Kornbrust (ak@red-database-security.com)

  David Litchfield (david@nextgenss.com)

  鏈接:http://marc.info/?l=full-disclosure&m=121615542720938&w=2

  http://secunia.com/advisories/31087/

  http://marc.info/?l=full-disclosure&m=121624986819068&w=2

  http://www.oracle.com/technology/deploy/security/critical-patch-

  updates/cpujul2008.html?_template=/o

  http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=727

  http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=725

  http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=726

  *>

  建議:

  —————————————————————————-

  廠商補丁:

  Oracle

  ——

  Oracle已經(jīng)為此發(fā)布了一個安全公告(cpujul2008)以及相應(yīng)補丁:

  cpujul2008:Oracle Critical Patch Update Advisory - July 2008

  鏈接:http://www.oracle.com/technology/deploy/security/critical-patch-

  updates/cpujul2008.html?_template=/o

發(fā)表評論 共有條評論
用戶名: 密碼:
驗證碼: 匿名發(fā)表
主站蜘蛛池模板: 呼图壁县| 县级市| 大安市| 扎兰屯市| 白山市| 庄浪县| 新民市| 新闻| 滁州市| 扎鲁特旗| 大田县| 平阳县| 明水县| 仪征市| 屯留县| 策勒县| 丰都县| 商河县| 邹平县| 安新县| 武隆县| 安康市| 诸暨市| 松滋市| 大连市| 喀什市| 于田县| 蓝田县| 隆德县| 新平| 乌拉特后旗| 错那县| 岗巴县| 勃利县| 吴桥县| 宁都县| 桐梓县| 页游| 新巴尔虎左旗| 嘉兴市| 桃园市|