首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2006-08)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

Oracle產品中存在多個嚴重安全漏洞

發布日期:2006-07-20


受影響的軟件及系統:
====================
Oracle Oracle8i 8.1.7.4
Oracle Oracle9i 9.2.0.7
Oracle Oracle9i 9.2.0.6
Oracle E-Business Suite 11i 11.5.7 - 11.5.10 CU2
Oracle E-Business Suite 11.0
Oracle Enterprise Manager 10g Grid Control, v10.2.0.1
Oracle Database 10g Release 1 10.1.0.5
Oracle Database 10g Release 1 10.1.0.4
Oracle Collaboration Suite Release 2 9.0.4.2
Oracle Application Server 10g Release 2 10.1.2.1.0
Oracle Application Server 10g Release 2 10.1.2.0.0 - 10.1.2.0.2
Oracle Application Server 10g Release 1 (9.0.4) 9.0.4.3
Oracle Application Server 10g Release 1 (9.0.4) 9.0.4.2
Oracle Collaboration Suite 10g Release 1 10.1.2.0
Oracle Database 10g Release 2 10.2.0.2
Oracle Database 10g Release 2 10.2.0.1
Oracle Pharmaceutical Applications 4.5.0 - 4.5.2
Oracle JD Edwards EnterpriseOne Tools/OneWorld Tools 8.96
Oracle JD Edwards EnterpriseOne Tools/OneWorld Tools 8.95
Oracle Application Server 10g Release 3 10.1.3.0.0
Oracle PeopleSoft Enterprise Portal Solutions Enterprise Portal,8.9
Oracle PeopleSoft Enterprise Portal Solutions Enterprise Portal,8.8
Oracle PeopleSoft Enterprise Portal Solutions Enterprise Portal,8.4

綜述:
======
Oracle發布了2006年7月的緊急補丁更新公告,修復了多個數據庫產品中的多個漏洞。攻擊者利用這些漏洞可能遠程入侵并完全控制數據庫或客戶端系統。

我們強烈建議使用Oracle用戶立刻檢查一下您的系統是否受此漏洞影響,并按照緊急補丁更新所述安裝更新補丁。

分析:
======
Oracle剛剛發布了本季度的緊急補丁更新cpujul2006,描述了多個安全問題,分別是有關各版本的Oracle Database、Enterprise Manager、Oracle Application Server、Collaboration Suite、E-Business Suite、Oracle Pharmaceutical Applications等系統和應用的漏洞。這些漏洞影響Oracle產品的所有安全屬性,可導致本地和遠程的威脅。其中一些漏洞可能需要各種級別的授權,但也有些不需要任何授權。最嚴重的漏洞可能導致完全入侵數據庫系統。

根據目前已知的信息,Oracle Database 10g中的漏洞主要是SYS.DBMS_CDC_IMPDP、SYS.DBMS_STATS、SYS.DBMS_UPGRADE、SYS.DBMS_UPGRADE和DBMS_EXPORT_EXTENSION軟件包中的SQL注入漏洞。其中DBMS_EXPORT_EXTENSION軟件包中的SQL注入漏洞目前已有公開的攻擊代碼。Oracle聲稱已在2006年4月的緊急補丁更新中修復了這個漏洞,但實際上并未修復。

目前還沒有其他受影響系統和應用的詳細漏洞信息。

廠商狀態:
==========
Oracle已經發布了修復這些漏洞的補丁包。詳細信息參見下列鏈接:
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2006.html

附加信息:
==========
1. http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2006.html
2. http://marc.theaimsgroup.com/?l=bugtraq&m=115326128200969&w=2
3. http://marc.theaimsgroup.com/?l=bugtraq&m=115326783618931&w=2
4. http://marc.theaimsgroup.com/?l=bugtraq&m=115326655012756&w=2
5. http://marc.theaimsgroup.com/?l=bugtraq&m=115326096108009&w=2
6. http://marc.theaimsgroup.com/?l=bugtraq&m=114606418904385&w=2

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2020 綠盟科技
彩票网站哪个最正规