Oracle4月更新修复多个安全漏洞
文章作者 100test 发表时间 2007:05:02 15:40:10
来源 100Test.Com百考试题网
受影响系统:
- Oracle E-Business Suite 11i 11.5.7 - 11.5.10 CU2
- Oracle Enterprise Manager 9.2.0.8
- Oracle Enterprise Manager 9.2.0.7
- Oracle Enterprise Manager 9.0.1.5
- Oracle Database 10g Release 1 10.1.0.5
- Oracle Database 10g Release 1 10.1.0.4
- Oracle Oracle9i Database Server Release 2 9.2.0.8
- Oracle Oracle9i Database Server Release 2 9.2.0.7
- Oracle Application Server 10g (9.0.4) 9.0.4.3
- Oracle Application Server 10g (9.0.4) 9.0.4.3
- Oracle Application Server 10g Release 2 10.1.2.2.0
- Oracle Application Server 10g Release 2 10.1.2.1.0
- Oracle Application Server 10g Release 2 10.1.2.0.0 - 10.1.2.0.2
- Oracle Database 10g Release 2 10.2.0.3
- Oracle Database 10g Release 2 10.2.0.2
- Oracle JD Edwards EnterpriseOne Tools 8.96
- Oracle JD Edwards OneWorld Tools SP23
- Oracle PeopleSoft Enterprise PeopleTools 8.48
- Oracle PeopleSoft Enterprise PeopleTools 8.47
- Oracle PeopleSoft Enterprise PeopleTools 8.22
- Oracle Secure Enterprise Search 10g Release 1 10.1.6
- Oracle Oracle10g Collaboration Suite Release 1 10.1.2
- Oracle Oracle E-Business Suite Release 12 12.0.0
- Oracle PeopleSoft Enterprise Human Capital Management 8.9
描述:
Oracle Database是一款商业性质大型数据库系统。
Oracle发布了2007年4月的紧急补丁更新公告,修复了多个Oracle产品中的多个漏洞。这些漏洞影响Oracle产品的所有安全属性,可导致本地和远程的威胁。其中一些漏洞可能需要各种级别的授权,但也有些不需要任何授权。最严重的漏洞可能导致完全入侵数据库系统。目前已知的漏洞包括:
- 1 攻击者可以绕过Oracle数据库的登录触发器(logon trigger)。登录触发器用于限制用户访问,因此这可能导致严重的安全问题.
- 2 DBMS_UPGRADE_INTERNAL和DBMS_AQADM_SYS软件包中存在SQL注入漏洞.
- 3 Oracle Secure Enterprise Search 10g的boundary_rules.jsp文件中EXPTYPE参数可能导致跨站脚本漏洞.
- 4 Oracle Discoverer Servlet中包含有database/tns别名的字段,攻击者可以通过这个字段发送TNS STOP命令关闭未受到保护的Oracle TNS Listener。