Se reportarón 85 vulnerabilidades en varios productos de Oracle. No se conoce el impacto de algunas, y otras pueden explotarse para realizar ataques de inyección de código PL/SQL, Cross-site Scripting, también se podría comprometer un sistema vulnerable.
Oracle Critical Patch Update
cpuoct2005
Oracle Database Server 10g Release 1 | == | Release 1 |
Oracle9i Database Server Release 1 | == | Release 2 |
Se reportarón 85 vulnerabilidades en varios productos de Oracle. No se conoce el impacto de algunas, y otras pueden explotarse para realizar ataques de inyección de código PL/SQL, Cross-site Scripting, también se podría comprometer un sistema vulnerable.
Se reveló información de las siguientes vulnerabilidades:
Existe una vulnerabilidad de desbordamiento de memoria y diecisiete de inyección PL/SQL en Oracle Database 10g y Oracle9i Database Server.
Una entrada que se pasa a "test.jsp" del Oracle Reports Server no es verificada apropiadamente antes de regresarse al usuario. Esto puede explotarse para ejecutar código HTML y scripts en el navegador de un usuario dentro del contexto de un sitio vulnerable.
Los siguientes productos son afectados por una o mas de las vulnerabilidades:
* Oracle Database Server 10g Release 1, versiones 10.1.0.3, 10.1.0.4 * Oracle9i Database Server Release 2, versiones 9.2.0.5, 9.2.0.6, 9.2.0.7 * Oracle8i Database Server Release 3, versión 8.1.7.4 * Oracle Enterprise Manager 10g Grid Control, versiones 10.1.0.3, 10.1.0.4 * Oracle Application Server 10g Release 2, versiones 10.1.2.0.0, 10.1.2.0.1, 10.1.2.0.2 * Oracle Application Server 10g Release 1 (9.0.4), versiones 9.0.4.1, 9.0.4.2 * Oracle Collaboration Suite 10g Release 1, versión 10.1.1 * Oracle9i Collaboration Suite Release 2, versión 9.0.4.2 * Oracle E-Business Suite Release 11i, versiones 11.5.1 a la 11.5.10 y 11.5.10 CU2 * Oracle E-Business Suite Release 11.0 * Oracle Clinical, versiones 4.5.0 y 4.5.1 * PeopleSoft Enterprise Tools, versiones 8.1 a la 8.46.03 * PeopleSoft CRM, versiones 8.81 a la 8.9 * JD Edwards EnterpriseOne, OneWorld XE, versiones 8.95_B1, 8.94_Q1, SP23_K1 * Oracle Database Server 10g Release 1, versión 10.1.0.4.2 * Oracle Developer Suite, versioness 9.0.2.1, 9.0.4.1, 9.0.4.2, 10.1.2.0 * Oracle Enterprise Manager Application Server Control, versiones 9.0.4.1, 9.0.4.2 * Oracle Enterprise Manager 10g Database Control, versiones 10.1.0.3, 10.1.0.4 * Oracle Workflow, versiones 11.5.1 a la 11.5.9.5 * Oracle9i Database Server Release 1, versiones 9.0.1.4, 9.0.1.5, 9.0.1.5 FIPS * Oracle8 Database Server Release 8.0.6, versión 8.0.6.3 * Oracle9i Application Server Release 2, versiones 9.0.2.3, 9.0.3.1 * Oracle9i Application Server Release 1, versión 1.0.2.2
Desconocido
Cross-site Scripting.
Manipulación de datos.
Acceso al sistema.
Aplicar actualizaciones:
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument-p_database_id=NOT&p_id=333954.1
Mayor información.
http://www.oracle.com/technology/deploy/security/pdf/cpuoct2005.htmlLa Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT