1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-497 Múltiples vulnerabilidades en productos de Oracle.

Se reportarón 85 vulnerabilidades en varios productos de Oracle. No se conoce el impacto de algunas, y otras pueden explotarse para realizar ataques de inyección de código PL/SQL, Cross-site Scripting, también se podría comprometer un sistema vulnerable.

  • Fecha de Liberación: 19-Oct-2005
  • Ultima Revisión: 19-Oct-2005
  • Fuente:

    Oracle Critical Patch Update
    cpuoct2005

  • CVE ID: CAN-2005-0873
  • Riesgo Altamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Múltiples vulnerabilidades

Sistemas Afectados

Oracle Database Server 10g Release 1 == Release 1
Oracle9i Database Server Release 1 == Release 2
  1. Descripción

    Se reportarón 85 vulnerabilidades en varios productos de Oracle. No se conoce el impacto de algunas, y otras pueden explotarse para realizar ataques de inyección de código PL/SQL, Cross-site Scripting, también se podría comprometer un sistema vulnerable.

    Se reveló información de las siguientes vulnerabilidades:

    1. Existe una vulnerabilidad de desbordamiento de memoria y diecisiete de inyección PL/SQL en Oracle Database 10g y Oracle9i Database Server.

    2. Una entrada que se pasa a "test.jsp" del Oracle Reports Server no es verificada apropiadamente antes de regresarse al usuario. Esto puede explotarse para ejecutar código HTML y scripts en el navegador de un usuario dentro del contexto de un sitio vulnerable.

    Los siguientes productos son afectados por una o mas de las vulnerabilidades:

    * Oracle Database Server 10g Release 1, versiones 10.1.0.3, 10.1.0.4
    * Oracle9i Database Server Release 2, versiones 9.2.0.5, 9.2.0.6, 9.2.0.7
    * Oracle8i Database Server Release 3, versión 8.1.7.4
    * Oracle Enterprise Manager 10g Grid Control, versiones 10.1.0.3, 10.1.0.4
    * Oracle Application Server 10g Release 2, versiones 10.1.2.0.0, 10.1.2.0.1, 10.1.2.0.2
    * Oracle Application Server 10g Release 1 (9.0.4), versiones 9.0.4.1, 9.0.4.2
    * Oracle Collaboration Suite 10g Release 1, versión 10.1.1
    * Oracle9i Collaboration Suite Release 2, versión 9.0.4.2
    * Oracle E-Business Suite Release 11i, versiones 11.5.1 a la 11.5.10 y 11.5.10 CU2
    * Oracle E-Business Suite Release 11.0
    * Oracle Clinical, versiones 4.5.0 y 4.5.1
    * PeopleSoft Enterprise Tools, versiones 8.1 a la 8.46.03
    * PeopleSoft CRM, versiones 8.81 a la 8.9
    * JD Edwards EnterpriseOne, OneWorld XE, versiones 8.95_B1, 8.94_Q1, SP23_K1
    * Oracle Database Server 10g Release 1, versión 10.1.0.4.2
    * Oracle Developer Suite, versioness 9.0.2.1, 9.0.4.1, 9.0.4.2, 10.1.2.0
    * Oracle Enterprise Manager Application Server Control, versiones 9.0.4.1, 9.0.4.2
    * Oracle Enterprise Manager 10g Database Control, versiones 10.1.0.3, 10.1.0.4
    * Oracle Workflow, versiones 11.5.1 a la 11.5.9.5
    * Oracle9i Database Server Release 1, versiones 9.0.1.4, 9.0.1.5, 9.0.1.5 FIPS
    * Oracle8 Database Server Release 8.0.6, versión 8.0.6.3
    * Oracle9i Application Server Release 2, versiones 9.0.2.3, 9.0.3.1
    * Oracle9i Application Server Release 1, versión 1.0.2.2
    

  2. Impacto

    Desconocido

    Cross-site Scripting.

    Manipulación de datos.

    Acceso al sistema.

  3. Solución

    Aplicar actualizaciones:
    http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument-p_database_id=NOT&p_id=333954.1

  4. Apéndices

    Mayor información.

    http://www.oracle.com/technology/deploy/security/pdf/cpuoct2005.html

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT