受影响系统:
Oracle E-Business Suite 11i 11.5.7 - 11.5.10 CU2
Oracle Enterprise Manager 9.2.0.8
Oracle Enterprise Manager 9.2.0.7
Oracle Enterprise Manager 9.0.1.5
Oracle Database 10g Release 1 10.1.0.5
Oracle Database 10g Release 1 10.1.0.4
Oracle Oracle9i Database Server Release 2 9.2.0.8
Oracle Oracle9i Database Server Release 2 9.2.0.7
Oracle Application Server 10g (9.0.4) 9.0.4.3
Oracle Application Server 10g (9.0.4) 9.0.4.3
Oracle Application Server 10g Release 2 10.1.2.2.0
Oracle Application Server 10g Release 2 10.1.2.1.0
Oracle Application Server 10g Release 2 10.1.2.0.0 - 10.1.2.0.2
Oracle Database 10g Release 2 10.2.0.3
Oracle Database 10g Release 2 10.2.0.2
Oracle JD Edwards EnterpriseOne Tools 8.96
Oracle JD Edwards OneWorld Tools SP23
Oracle PeopleSoft Enterprise PeopleTools 8.48
Oracle PeopleSoft Enterprise PeopleTools 8.47
Oracle PeopleSoft Enterprise PeopleTools 8.22
Oracle Secure Enterprise Search 10g Release 1 10.1.6
Oracle Oracle10g Collaboration Suite Release 1 10.1.2
Oracle Oracle E-Business Suite Release 12 12.0.0
Oracle PeopleSoft Enterprise Human Capital Management 8.9
描述:
Oracle Database是一款商业性质大型数据库系统。
Oracle发布了2007年4月的紧急补丁更新公告,修复了多个Oracle产品中的多个漏洞。这些漏洞影响Oracle产品的所有安全属性,可导致本地和远程的威胁。其中一些漏洞可能需要各种级别的授权,但也有些不需要任何授权。最严重的漏洞可能导致完全入侵数据库系统。目前已知的漏洞包括:
1 攻击者可以绕过Oracle数据库的登录触发器(logon trigger)。登录触发器用于限制用户访问,因此这可能导致严重的安全问题;
2 DBMS_UPGRADE_INTERNAL和DBMS_AQADM_SYS软件包中存在SQL注入漏洞;
3 Oracle Secure Enterprise Search 10g的boundary_rules.jsp文件中EXPTYPE参数可能导致跨站脚本漏洞;
4 Oracle Discoverer Servlet中包含有database/tns别名的字段,攻击者可以通过这个字段发送TNS STOP命令关闭未受到保护的Oracle TNS Listener。
厂商补丁:
Oracle已经为此发布了一个安全公告(cpuapr2007)以及相应补丁:
cpuapr2007:Oracle Critical Patch Update - April 2007
