首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2006-08)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

Oracle产品中存在多个严重安全漏洞

发布日期:2006-07-20


受影响的软件及系统:
====================
Oracle Oracle8i 8.1.7.4
Oracle Oracle9i 9.2.0.7
Oracle Oracle9i 9.2.0.6
Oracle E-Business Suite 11i 11.5.7 - 11.5.10 CU2
Oracle E-Business Suite 11.0
Oracle Enterprise Manager 10g Grid Control, v10.2.0.1
Oracle Database 10g Release 1 10.1.0.5
Oracle Database 10g Release 1 10.1.0.4
Oracle Collaboration Suite Release 2 9.0.4.2
Oracle Application Server 10g Release 2 10.1.2.1.0
Oracle Application Server 10g Release 2 10.1.2.0.0 - 10.1.2.0.2
Oracle Application Server 10g Release 1 (9.0.4) 9.0.4.3
Oracle Application Server 10g Release 1 (9.0.4) 9.0.4.2
Oracle Collaboration Suite 10g Release 1 10.1.2.0
Oracle Database 10g Release 2 10.2.0.2
Oracle Database 10g Release 2 10.2.0.1
Oracle Pharmaceutical Applications 4.5.0 - 4.5.2
Oracle JD Edwards EnterpriseOne Tools/OneWorld Tools 8.96
Oracle JD Edwards EnterpriseOne Tools/OneWorld Tools 8.95
Oracle Application Server 10g Release 3 10.1.3.0.0
Oracle PeopleSoft Enterprise Portal Solutions Enterprise Portal,8.9
Oracle PeopleSoft Enterprise Portal Solutions Enterprise Portal,8.8
Oracle PeopleSoft Enterprise Portal Solutions Enterprise Portal,8.4

综述:
======
Oracle发布了2006年7月的紧急补丁更新公告,修复了多个数据库产品中的多个漏洞。攻击者利用这些漏洞可能远程入侵并完全控制数据库或客户端系统。

我们强烈建议使用Oracle用户立刻检查一下您的系统是否受此漏洞影响,并按照紧急补丁更新所述安装更新补丁。

分析:
======
Oracle刚刚发布了本季度的紧急补丁更新cpujul2006,描述了多个安全问题,分别是有关各版本的Oracle Database、Enterprise Manager、Oracle Application Server、Collaboration Suite、E-Business Suite、Oracle Pharmaceutical Applications等系统和应用的漏洞。这些漏洞影响Oracle产品的所有安全属性,可导致本地和远程的威胁。其中一些漏洞可能需要各种级别的授权,但也有些不需要任何授权。最严重的漏洞可能导致完全入侵数据库系统。

根据目前已知的信息,Oracle Database 10g中的漏洞主要是SYS.DBMS_CDC_IMPDP、SYS.DBMS_STATS、SYS.DBMS_UPGRADE、SYS.DBMS_UPGRADE和DBMS_EXPORT_EXTENSION软件包中的SQL注入漏洞。其中DBMS_EXPORT_EXTENSION软件包中的SQL注入漏洞目前已有公开的攻击代码。Oracle声称已在2006年4月的紧急补丁更新中修复了这个漏洞,但实际上并未修复。

目前还没有其他受影响系统和应用的详细漏洞信息。

厂商状态:
==========
Oracle已经发布了修复这些漏洞的补丁包。详细信息参见下列链接:
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2006.html

附加信息:
==========
1. http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2006.html
2. http://marc.theaimsgroup.com/?l=bugtraq&m=115326128200969&w=2
3. http://marc.theaimsgroup.com/?l=bugtraq&m=115326783618931&w=2
4. http://marc.theaimsgroup.com/?l=bugtraq&m=115326655012756&w=2
5. http://marc.theaimsgroup.com/?l=bugtraq&m=115326096108009&w=2
6. http://marc.theaimsgroup.com/?l=bugtraq&m=114606418904385&w=2

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2024 绿盟科技