| 導購 | 订阅 | 在线投稿
分享
 
 
當前位置: 王朝網路 >> oracle >> Oracle 2008年7月緊急補丁更新修複多個漏洞
 

Oracle 2008年7月緊急補丁更新修複多個漏洞

2008-07-23 06:30:16  編輯來源:互聯網  简体版  手機版  評論  字體: ||
 
 
  Oracle Database是一款商業性質大型數據庫系統。Oracle發布了2008年7月的緊急補丁更新公告,修複了多個Oracle産品中的多個漏洞。這些漏洞影響Oracle産品的所有安全屬性,可導致本地和遠程的威脅。其中一些漏洞可能需要各種級別的授權,但也有些不需要任何授權。最嚴重的漏洞可能導致完全入侵數據庫系統。

  發布日期:2008-07-15

  更新日期:2008-07-16

  受影響系統:

  Oracle Application Server 9.0.4.3

  Oracle Application Server 10.1.3.3.0

  Oracle Application Server 10.1.3.1.0

  Oracle Application Server 10.1.2.3.0

  Oracle Application Server 10.1.2.2.0

  Oracle E-Business Suite 12.0.4

  Oracle E-Business Suite 11.5.10.2

  Oracle Enterprise Manager Grid Control 10.1.0.6

  Oracle Enterprise Manager Grid Control 10.1.0.5

  Oracle PeopleSoft CRM 9.0

  Oracle PeopleSoft CRM 8.9

  Oracle Database 9.2.0.8DV

  Oracle Database 9.2.0.8

  Oracle Database 11.1.0.6

  Oracle Database 10.2.0.4

  Oracle Database 10.2.0.3

  Oracle Database 10.2.0.2

  Oracle Database 10.1.0.5

  Oracle PeopleSoft Enterprise PeopleTools 8.49.11

  Oracle PeopleSoft Enterprise PeopleTools 8.48.17

  Oracle TimesTen In-Memory Database 7.0.3.0.0

  Oracle Hyperion BI Plus 9.3.1.0

  Oracle Hyperion BI Plus 9.2.1.0

  Oracle Hyperion BI Plus 9.2.0.3

  Oracle Hyperion Performance Suite 8.5.0.3

  Oracle Hyperion Performance Suite 8.3.2.4

  Oracle Enterprise Manager Database Control 11.1.0.6

  Oracle Enterprise Manager Database Control 10.2.0.4

  Oracle Enterprise Manager Database Control 10.2.0.3

  Oracle Enterprise Manager Database Control 10.2.0.2

  Oracle Enterprise Manager Database Control 10.1.0.5

  Oracle WebLogic Server 9.2

  Oracle WebLogic Server 9.1

  Oracle WebLogic Server 9.0

  Oracle WebLogic Server 8.1

  Oracle WebLogic Server 7.0

  Oracle WebLogic Server 6.1

  Oracle WebLogic Server 10.0

  描述:

  —————————————————————————-

  BUGTRAQ ID: 30177

  CVE(CAN) ID: CVE-2008-2607,CVE-2008-2613,CVE-2008-2592,CVE-2008-2604,CVE-2008-2591,CVE-2008-2600,CVE-2008-2602,CVE-2008-2605,CVE-2008-2611,CVE-2008-2608,CVE-2008-2590,CVE-2008-2603,CVE-2008-2587,CVE-2008-2597,CVE-2008-2598,CVE-2008-2599,CVE-2008-2589,CVE-2008-2594,CVE-2008-2609,CVE-2008-2595,CVE-2008-2612,CVE-2008-2614,CVE-2008-2583,CVE-2008-2593,CVE-2008-2596,CVE-2008-2601,CVE-2008-2586,CVE-2008-2606,CVE-2008-2610,CVE-2008-2615,CVE-2008-2622,CVE-2008-2616,CVE-2008-2617,CVE-2008-2618,CVE-2008-2620,CVE-2008-2621,CVE-2008-2579,CVE-2008-2581,CVE-2008-2582,CVE-2008-2577,CVE-2008-2578,CVE-2008-2576,CVE-2008-2580

  Oracle Database是一款商業性質大型數據庫系統。

  Oracle發布了2008年7月的緊急補丁更新公告,修複了多個Oracle産品中的多個漏洞。這些漏洞影響Oracle産品的所有安全屬性,可導致本地和遠程的威脅。其中一些漏洞可能需要各種級別的授權,但也有些不需要任何授權。最嚴重的漏洞可能導致完全入侵數據庫系統。目前已知的漏洞包括:

  Oracle應用服務器在後端數據庫安裝了一些PLSQL軟件包,其中的WWV_RENDER_REPORT軟件包存在PLSQL注入漏洞。SHOW過程取將要執行的函數名稱作爲其第二個參數,而該參數未經過濾便嵌入了PLSQL的動態執行匿名塊。由于是匿名PLSQL塊,因此攻擊者可以通過在execute immediate中包裝語句並指定autonomous_transaction pragma來執行任意SQL語句。

  Linux和Unix平台的Oracle數據庫所發布的一個set-uid程序中存在安全漏洞。如果該程序加載了被替換過的模塊的話,就會導致以root用戶權限執行任意代碼。如果要利用這個漏洞,攻擊者必須可以訪問數據庫所有者帳號(通常爲oracle)或爲oracle安裝組的成員(通常爲oinstall)。

  Oracle的Internet Directory服務由兩個進程組成,一個爲處理入站連接並將連接傳送給第二個進程的監聽程序,另一個用于處理請求。在處理畸形的LDAP請求時,處理程序可能會引用空指針,導致進程崩潰。如果要利用這個漏洞,攻擊者必須能夠在有漏洞的服務器上創建LDAP會話,通常通過TCP 389端口或啓用了SSL的TCP 636端口。

  Oracle數據庫産品所安裝的DBMS_AQELM軟件包沒有正確地驗證用戶輸入,如果遠程攻擊者在請求中提供了超長字符串的話就可以觸發緩沖區溢出,導致以數據庫用戶的權限執行任意代碼。如果要利用這個漏洞,攻擊者必須擁有可執行DBMS_AQELM軟件包權限的數據庫帳號,默認爲AQ_ADMINISTRATOR_ROLE。

  <*來源:Esteban Martinez Fayo

  Alexander Kornbrust (ak@red-database-security.com

  David Litchfield (david@nextgenss.com

  鏈接:http://marc.info/?l=full-disclosure&m=121615542720938&w=2

http://secunia.com/advisories/31087/

http://marc.info/?l=full-disclosure&m=121624986819068&w=2

http://www.oracle.com/technology/deploy/security/critical-patch-

  updates/cpujul2008.html?_template=/o

http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=727

http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=725

http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=726

  *>

  建議:

  —————————————————————————-

  廠商補丁:

  Oracle

  ——

  Oracle已經爲此發布了一個安全公告(cpujul2008)以及相應補丁:

  cpujul2008:Oracle Critical Patch Update Advisory - July 2008

  鏈接:http://www.oracle.com/technology/deploy/security/critical-patch-

  updates/cpujul2008.html?_template=/o
 
 
 
上一篇《臨時表在Oracle數據庫與SQL Server數據庫中的異同(2)》
下一篇《講解Oracle數據庫冷備份恢複的具體步驟》
 
 
 
日版寵物情人插曲《Winding Road》歌詞

日版寵物情人2017的插曲,很帶節奏感,日語的,女生唱的。 最後聽見是在第8集的時候女主手割傷了,然後男主用嘴幫她吸了一下,插曲就出來了。 歌手:Def...

兄弟共妻,我成了他們夜裏的美食

老鍾家的兩個兒子很特別,就是跟其他的人不太一樣,魔一般的執著。兄弟倆都到了要結婚的年齡了,不管自家老爹怎麽磨破嘴皮子,兄弟倆說不娶就不娶,老父母爲兄弟兩操碎了心...

如何磨出破洞牛仔褲?牛仔褲怎麽剪破洞?

把牛仔褲磨出有線的破洞 1、具體工具就是磨腳石,下面墊一個硬物,然後用磨腳石一直磨一直磨,到把那塊磨薄了,用手撕開就好了。出來的洞啊很自然的。需要貓須的話調幾...

我就是掃描下圖得到了敬業福和愛國福

先來看下敬業福和愛國福 今年春節,支付寶再次推出了“五福紅包”活動,表示要“把欠大家的敬業福都還給大家”。 今天該活動正式啓動,和去年一樣,需要收集“五福”...

冰箱異味産生的原因和臭味去除的方法

有時候我們打開冰箱就會聞到一股異味,冰箱裏的這種異味是因爲一些物質發出的氣味的混合體,聞起來讓人惡心。 産生這些異味的主要原因有以下幾點。 1、很多人有這種習...

《極品家丁》1-31集大結局分集劇情介紹

簡介 《極品家丁》講述了現代白領林晚榮無意回到古代金陵,並追隨蕭二小姐化名“林三”進入蕭府,不料卻陰差陽錯上演了一出低級家丁拼搏上位的“林三升職記”。...

李溪芮《極品家丁》片尾曲《你就是我最愛的寶寶》歌詞

你就是我最愛的寶寶 - 李溪芮 (電視劇《極品家丁》片尾曲) 作詞:常馨內 作曲:常馨內 你的眉 又鬼馬的挑 你的嘴 又壞壞的笑 上一秒吵鬧 下...

烏梅的功效與作用以及烏梅的食用禁忌有哪些?

烏梅,又稱春梅,中醫認爲,烏梅味酸,性溫,無毒,具有安心、除熱、下氣、祛痰、止渴調中、殺蟲的功效,治肢體痛、肺痨病。烏梅泡水喝能治傷寒煩熱、止吐瀉,與幹姜一起制...

什麽是脂肪粒?如何消除臉部脂肪粒?

什麽是脂肪粒 在我們的臉上總會長一個個像脂肪的小顆粒,弄也弄不掉,而且顔色還是白白的。它既不是粉刺也不是其他的任何痘痘,它就是脂肪粒。 脂肪粒雖然也是由油脂...

網絡安全治理:國家安全保障的主要方向是打擊犯罪,而不是處置和懲罰受害者

來源:中國青年報 新的攻擊方法不斷湧現,黑客幾乎永遠占據網絡攻擊的上風,我們不可能通過技術手段杜絕網絡攻擊。國家安全保障的主要方向是打擊犯罪,而不是處置和懲罰...

 
 
 
  Oracle Database是一款商業性質大型數據庫系統。Oracle發布了2008年7月的緊急補丁更新公告,修複了多個Oracle産品中的多個漏洞。這些漏洞影響Oracle産品的所有安全屬性,可導致本地和遠程的威脅。其中一些漏洞可能需要各種級別的授權,但也有些不需要任何授權。最嚴重的漏洞可能導致完全入侵數據庫系統。   發布日期:2008-07-15   更新日期:2008-07-16   受影響系統:   Oracle Application Server 9.0.4.3   Oracle Application Server 10.1.3.3.0   Oracle Application Server 10.1.3.1.0   Oracle Application Server 10.1.2.3.0   Oracle Application Server 10.1.2.2.0   Oracle E-Business Suite 12.0.4   Oracle E-Business Suite 11.5.10.2   Oracle Enterprise Manager Grid Control 10.1.0.6   Oracle Enterprise Manager Grid Control 10.1.0.5   Oracle PeopleSoft CRM 9.0   Oracle PeopleSoft CRM 8.9   Oracle Database 9.2.0.8DV   Oracle Database 9.2.0.8   Oracle Database 11.1.0.6   Oracle Database 10.2.0.4   Oracle Database 10.2.0.3   Oracle Database 10.2.0.2   Oracle Database 10.1.0.5   Oracle PeopleSoft Enterprise PeopleTools 8.49.11   Oracle PeopleSoft Enterprise PeopleTools 8.48.17   Oracle TimesTen In-Memory Database 7.0.3.0.0   Oracle Hyperion BI Plus 9.3.1.0   Oracle Hyperion BI Plus 9.2.1.0   Oracle Hyperion BI Plus 9.2.0.3   Oracle Hyperion Performance Suite 8.5.0.3   Oracle Hyperion Performance Suite 8.3.2.4   Oracle Enterprise Manager Database Control 11.1.0.6   Oracle Enterprise Manager Database Control 10.2.0.4   Oracle Enterprise Manager Database Control 10.2.0.3   Oracle Enterprise Manager Database Control 10.2.0.2   Oracle Enterprise Manager Database Control 10.1.0.5   Oracle WebLogic Server 9.2   Oracle WebLogic Server 9.1   Oracle WebLogic Server 9.0   Oracle WebLogic Server 8.1   Oracle WebLogic Server 7.0   Oracle WebLogic Server 6.1   Oracle WebLogic Server 10.0   描述:   —————————————————————————-   BUGTRAQ ID: 30177   CVE(CAN) ID: CVE-2008-2607,CVE-2008-2613,CVE-2008-2592,CVE-2008-2604,CVE-2008-2591,CVE-2008-2600,CVE-2008-2602,CVE-2008-2605,CVE-2008-2611,CVE-2008-2608,CVE-2008-2590,CVE-2008-2603,CVE-2008-2587,CVE-2008-2597,CVE-2008-2598,CVE-2008-2599,CVE-2008-2589,CVE-2008-2594,CVE-2008-2609,CVE-2008-2595,CVE-2008-2612,CVE-2008-2614,CVE-2008-2583,CVE-2008-2593,CVE-2008-2596,CVE-2008-2601,CVE-2008-2586,CVE-2008-2606,CVE-2008-2610,CVE-2008-2615,CVE-2008-2622,CVE-2008-2616,CVE-2008-2617,CVE-2008-2618,CVE-2008-2620,CVE-2008-2621,CVE-2008-2579,CVE-2008-2581,CVE-2008-2582,CVE-2008-2577,CVE-2008-2578,CVE-2008-2576,CVE-2008-2580   Oracle Database是一款商業性質大型數據庫系統。   Oracle發布了2008年7月的緊急補丁更新公告,修複了多個Oracle産品中的多個漏洞。這些漏洞影響Oracle産品的所有安全屬性,可導致本地和遠程的威脅。其中一些漏洞可能需要各種級別的授權,但也有些不需要任何授權。最嚴重的漏洞可能導致完全入侵數據庫系統。目前已知的漏洞包括:   Oracle應用服務器在後端數據庫安裝了一些PLSQL軟件包,其中的WWV_RENDER_REPORT軟件包存在PLSQL注入漏洞。SHOW過程取將要執行的函數名稱作爲其第二個參數,而該參數未經過濾便嵌入了PLSQL的動態執行匿名塊。由于是匿名PLSQL塊,因此攻擊者可以通過在execute immediate中包裝語句並指定autonomous_transaction pragma來執行任意SQL語句。   Linux和Unix平台的Oracle數據庫所發布的一個set-uid程序中存在安全漏洞。如果該程序加載了被替換過的模塊的話,就會導致以root用戶權限執行任意代碼。如果要利用這個漏洞,攻擊者必須可以訪問數據庫所有者帳號(通常爲oracle)或爲oracle安裝組的成員(通常爲oinstall)。   Oracle的Internet Directory服務由兩個進程組成,一個爲處理入站連接並將連接傳送給第二個進程的監聽程序,另一個用于處理請求。在處理畸形的LDAP請求時,處理程序可能會引用空指針,導致進程崩潰。如果要利用這個漏洞,攻擊者必須能夠在有漏洞的服務器上創建LDAP會話,通常通過TCP 389端口或啓用了SSL的TCP 636端口。   Oracle數據庫産品所安裝的DBMS_AQELM軟件包沒有正確地驗證用戶輸入,如果遠程攻擊者在請求中提供了超長字符串的話就可以觸發緩沖區溢出,導致以數據庫用戶的權限執行任意代碼。如果要利用這個漏洞,攻擊者必須擁有可執行DBMS_AQELM軟件包權限的數據庫帳號,默認爲AQ_ADMINISTRATOR_ROLE。   <*來源:Esteban Martinez Fayo   Alexander Kornbrust ([url=mailto:ak@red-database-security.com]ak@red-database-security.com[/url])   David Litchfield ([url=mailto:david@nextgenss.com]david@nextgenss.com[/url])   鏈接:[url=http://marc.info/?l=full-disclosure&m=121615542720938&w=2]http://marc.info/?l=full-disclosure&m=121615542720938&w=2[/url]   [url=http://secunia.com/advisories/31087/]http://secunia.com/advisories/31087/[/url]   [url=http://marc.info/?l=full-disclosure&m=121624986819068&w=2]http://marc.info/?l=full-disclosure&m=121624986819068&w=2[/url]   [url=http://www.oracle.com/technology/deploy/security/critical-patch]http://www.oracle.com/technology/deploy/security/critical-patch[/url]-   updates/cpujul2008.html?_template=/o   [url=http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=727]http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=727[/url]   [url=http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=725]http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=725[/url]   [url=http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=726]http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=726[/url]   *>   建議:   —————————————————————————-   廠商補丁:   Oracle   ——   Oracle已經爲此發布了一個安全公告(cpujul2008)以及相應補丁:   cpujul2008:Oracle Critical Patch Update Advisory - July 2008   鏈接:[url=http://www.oracle.com/technology/deploy/security/critical-patch]http://www.oracle.com/technology/deploy/security/critical-patch[/url]-   updates/cpujul2008.html?_template=/o
󰈣󰈤
 
 
 
  免責聲明:本文僅代表作者個人觀點,與王朝網路無關。王朝網路登載此文出於傳遞更多信息之目的,並不意味著贊同其觀點或證實其描述,其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,並請自行核實相關內容。
 
 
Afternoon Girl
精致的外景拍攝
零點一公分的距離
俏麗迷人 視覺享受
北海老城隨拍(二)
夢中的郭河
Gassin(法國最美麗小鎮之一) part
瑤池夕照
 
>>返回首頁<<
 
 熱帖排行
 
 
 
 
© 2005- 王朝網路 版權所有