分享
 
 
 

Oracle 2008年7月紧急补丁更新修复多个漏洞

王朝oracle·作者佚名  2008-07-23
窄屏简体版  字體: |||超大  

Oracle Database是一款商业性质大型数据库系统。Oracle发布了2008年7月的紧急补丁更新公告,修复了多个Oracle产品中的多个漏洞。这些漏洞影响Oracle产品的所有安全属性,可导致本地和远程的威胁。其中一些漏洞可能需要各种级别的授权,但也有些不需要任何授权。最严重的漏洞可能导致完全入侵数据库系统。

发布日期:2008-07-15

更新日期:2008-07-16

受影响系统:

Oracle Application Server 9.0.4.3

Oracle Application Server 10.1.3.3.0

Oracle Application Server 10.1.3.1.0

Oracle Application Server 10.1.2.3.0

Oracle Application Server 10.1.2.2.0

Oracle E-Business Suite 12.0.4

Oracle E-Business Suite 11.5.10.2

Oracle Enterprise Manager Grid Control 10.1.0.6

Oracle Enterprise Manager Grid Control 10.1.0.5

Oracle PeopleSoft CRM 9.0

Oracle PeopleSoft CRM 8.9

Oracle Database 9.2.0.8DV

Oracle Database 9.2.0.8

Oracle Database 11.1.0.6

Oracle Database 10.2.0.4

Oracle Database 10.2.0.3

Oracle Database 10.2.0.2

Oracle Database 10.1.0.5

Oracle PeopleSoft Enterprise PeopleTools 8.49.11

Oracle PeopleSoft Enterprise PeopleTools 8.48.17

Oracle TimesTen In-Memory Database 7.0.3.0.0

Oracle Hyperion BI Plus 9.3.1.0

Oracle Hyperion BI Plus 9.2.1.0

Oracle Hyperion BI Plus 9.2.0.3

Oracle Hyperion Performance Suite 8.5.0.3

Oracle Hyperion Performance Suite 8.3.2.4

Oracle Enterprise Manager Database Control 11.1.0.6

Oracle Enterprise Manager Database Control 10.2.0.4

Oracle Enterprise Manager Database Control 10.2.0.3

Oracle Enterprise Manager Database Control 10.2.0.2

Oracle Enterprise Manager Database Control 10.1.0.5

Oracle WebLogic Server 9.2

Oracle WebLogic Server 9.1

Oracle WebLogic Server 9.0

Oracle WebLogic Server 8.1

Oracle WebLogic Server 7.0

Oracle WebLogic Server 6.1

Oracle WebLogic Server 10.0

描述:

—————————————————————————-

BUGTRAQ ID: 30177

CVE(CAN) ID: CVE-2008-2607,CVE-2008-2613,CVE-2008-2592,CVE-2008-2604,CVE-2008-2591,CVE-2008-2600,CVE-2008-2602,CVE-2008-2605,CVE-2008-2611,CVE-2008-2608,CVE-2008-2590,CVE-2008-2603,CVE-2008-2587,CVE-2008-2597,CVE-2008-2598,CVE-2008-2599,CVE-2008-2589,CVE-2008-2594,CVE-2008-2609,CVE-2008-2595,CVE-2008-2612,CVE-2008-2614,CVE-2008-2583,CVE-2008-2593,CVE-2008-2596,CVE-2008-2601,CVE-2008-2586,CVE-2008-2606,CVE-2008-2610,CVE-2008-2615,CVE-2008-2622,CVE-2008-2616,CVE-2008-2617,CVE-2008-2618,CVE-2008-2620,CVE-2008-2621,CVE-2008-2579,CVE-2008-2581,CVE-2008-2582,CVE-2008-2577,CVE-2008-2578,CVE-2008-2576,CVE-2008-2580

Oracle Database是一款商业性质大型数据库系统。

Oracle发布了2008年7月的紧急补丁更新公告,修复了多个Oracle产品中的多个漏洞。这些漏洞影响Oracle产品的所有安全属性,可导致本地和远程的威胁。其中一些漏洞可能需要各种级别的授权,但也有些不需要任何授权。最严重的漏洞可能导致完全入侵数据库系统。目前已知的漏洞包括:

Oracle应用服务器在后端数据库安装了一些PLSQL软件包,其中的WWV_RENDER_REPORT软件包存在PLSQL注入漏洞。SHOW过程取将要执行的函数名称作为其第二个参数,而该参数未经过滤便嵌入了PLSQL的动态执行匿名块。由于是匿名PLSQL块,因此攻击者可以通过在execute immediate中包装语句并指定autonomous_transaction pragma来执行任意SQL语句。

Linux和Unix平台的Oracle数据库所发布的一个set-uid程序中存在安全漏洞。如果该程序加载了被替换过的模块的话,就会导致以root用户权限执行任意代码。如果要利用这个漏洞,攻击者必须可以访问数据库所有者帐号(通常为oracle)或为oracle安装组的成员(通常为oinstall)。

Oracle的Internet Directory服务由两个进程组成,一个为处理入站连接并将连接传送给第二个进程的监听程序,另一个用于处理请求。在处理畸形的LDAP请求时,处理程序可能会引用空指针,导致进程崩溃。如果要利用这个漏洞,攻击者必须能够在有漏洞的服务器上创建LDAP会话,通常通过TCP 389端口或启用了SSL的TCP 636端口。

Oracle数据库产品所安装的DBMS_AQELM软件包没有正确地验证用户输入,如果远程攻击者在请求中提供了超长字符串的话就可以触发缓冲区溢出,导致以数据库用户的权限执行任意代码。如果要利用这个漏洞,攻击者必须拥有可执行DBMS_AQELM软件包权限的数据库帐号,默认为AQ_ADMINISTRATOR_ROLE。

<*来源:Esteban Martinez Fayo

Alexander Kornbrust (ak@red-database-security.com

David Litchfield (david@nextgenss.com

链接:http://marc.info/?l=full-disclosure&m=121615542720938&w=2

http://secunia.com/advisories/31087/

http://marc.info/?l=full-disclosure&m=121624986819068&w=2

http://www.oracle.com/technology/deploy/security/critical-patch-

updates/cpujul2008.html?_template=/o

http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=727

http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=725

http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=726

*>

建议:

—————————————————————————-

厂商补丁:

Oracle

——

Oracle已经为此发布了一个安全公告(cpujul2008)以及相应补丁:

cpujul2008:Oracle Critical Patch Update Advisory - July 2008

链接:http://www.oracle.com/technology/deploy/security/critical-patch-

updates/cpujul2008.html?_template=/o

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有