首页 -> 安全研究
安全研究
安全漏洞
Oracle 2009年10月紧急补丁更新修复多个数据库漏洞
发布日期:2009-10-15
更新日期:2009-10-22
受影响系统:
Oracle Database 9.2.0.8DV描述:
Oracle Database 9.2.0.8
Oracle Database 11.1.0.7
Oracle Database 10.2.0.4
Oracle Database 10.2.0.3
Oracle Database 10.1.0.5
BUGTRAQ ID: 36760,36765,36758,36754,36750,36759,36756,36755,36747,36748,36752,36751,36745,36744,36742,36743
CVE(CAN) ID: CVE-2009-1007,CVE-2009-1018,CVE-2009-1964,CVE-2009-1965,CVE-2009-1971,CVE-2009-1972,CVE-2009-1979,CVE-2009-1985,CVE-2009-1991,CVE-2009-1992,CVE-2009-1993,CVE-2009-1994,CVE-2009-1995,CVE-2009-1997,CVE-2009-2000,CVE-2009-2001
Oracle Database是一款商业性质大型数据库系统。
Oracle发布了2009年10月的紧急补丁更新公告,修复了多个Oracle Database产品中的多个漏洞。这些漏洞影响Oracle产品的所有安全属性,可导致本地和远程的威胁。其中一些漏洞可能需要各种级别的授权,但也有些不需要任何授权。最严重的漏洞可能导致完全入侵数据库系统。
1) 运行在Windows平台上的Core RDBMS组件中的漏洞可能导致执行任意代码。
2) Network Authentication组件中的多个漏洞可能导致执行任意代码。
3) Data Mining组件中的漏洞可能允许通过认证的用户泄露或操控某些数据。成功利用这个漏洞要求拥有对SYS.DMP_SYS的执行权限。
4) Oracle Spatial组件中的漏洞可能允许通过认证的用户泄露或操控某些数据。成功利用这个漏洞要求拥有对MDSYS.PRVT_CMT_CBK的执行权限。
5) PL/SQL组件中的漏洞可能允许通过认证的用户泄露或操控某些数据。成功利用这个漏洞要求拥有Create Procedure权限。
6) Application Express组件中的漏洞可能允许通过认证的用户泄露或操控某些数据。成功利用这个漏洞要求拥有对FLOWS_030000.WWV_EXECUTE_IMMEDIATE的执行权限。
7) Workspace Manager组件中的漏洞可能允许通过认证的用户泄露或操控某些数据。成功利用这个漏洞要求拥有对SYS.LTRIC(WMSYS.LTRIC)的执行权限。
8) Workspace Manager组件中的漏洞可能允许通过认证的用户泄露或操控某些数据。成功利用这个漏洞要求拥有Create Session权限。
9) Windows平台上Net Foundation Layer组件中的漏洞可能导致泄漏或操控某些数据。
10) Authentication组件中的多个漏洞可能导致泄漏敏感数据。
11) Advanced Queuing组件中的漏洞可能允许通过认证的用户泄露或操控某些数据。成功利用这个漏洞要求拥有对SYS.DBMS_AQ_INV的执行权限。
12) Oracle Text组件中的漏洞可能允许通过认证的用户泄露或操控某些数据。成功利用这个漏洞要求拥有对CTXSYS.DRVXTABC的执行权限。
13) Data Pump组件中的漏洞可能允许通过认证的用户泄露或操控某些数据。成功利用这个漏洞要求拥有Create Session权限。
14) Auditing组件中的漏洞可能允许通过认证的用户操控某些数据。成功利用这个漏洞要求拥有对DBMS_SYS_SQL和DBMS_SQL的执行权限。
<*来源:Yaniv Azaria
Cesar Cerrudo (cesarc56@yahoo.com)
Deniz CEVIK (Deniz.Cevik@intellect.com.tr)
Joxean Koret (joxeankoret@yahoo.es)
Alexander Kornbrust (ak@red-database-security.com)
链接:http://secunia.com/advisories/37027/
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2009.html
http://www.us-cert.gov/cas/techalerts/TA09-294A.html
*>
建议:
厂商补丁:
Oracle
------
Oracle已经为此发布了一个安全公告(cpuoct2009)以及相应补丁:
cpuoct2009:Oracle Critical Patch Update Advisory - October 2009
链接:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2009.html
浏览次数:3158
严重程度:0(网友投票)
绿盟科技给您安全的保障