P11555
(百分比(南港棧))
超級版主
UID 5
精華
0
積分 1784
帖子 384
威望 8
P幣 861 $
經驗 531 點
閱讀權限 200
註冊 2000-1-1 來自 中華民國
狀態 離線
|
|
| | | 2008/04/30 | | | 風險等級: | 高度威脅 | | | 摘 要: | Oracle 公司於日前發佈本年第二次弱點修補程式,共計提供41 個安全修補程式,本次發佈的多項弱點共影響了多種Oracle 產品,包括了:Oracle Database 11g、Oracle Database 10g、Oracle Database 9i、Oracle Application Server 10g、Oracle Collaboration Suite 10g、Oracle E-Business Suite Release 12、Oracle E-Business Suite Release 11i、Oracle PeopleSoft Enterprise PeopleTools、Oracle PeopleSoft Enterprise HCM、Oracle Siebel SimBuilder等。
惡意人士可能會利用本此發佈的弱點進行攻擊,其中某些弱點造成的影響目前還無法得知,其餘弱點可能會被惡意人士利用於繞過特定的安全性認證,導致SQL Injection 攻擊、引起阻斷式攻擊(Denial of Service),或者是可能癱瘓受駭電腦。
Oracle 已針對本次發佈的弱點,推出重大安全更新,下次發佈弱點修補通告預計為2008年7月15日,中華電信SOC 在此建議管理者應儘速上網更新,避免受到此次弱點影響。 | | | | | | | 影響系統 : | - Oracle Database 11g, version 11.1.0.6
- Oracle Database 10g Release 2, versions 10.2.0.2, 10.2.0.3
- Oracle Database 10g, version 10.1.0.5
- Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV
- Oracle Application Server 10g Release 3 (10.1.3), versions 10.1.3.1.0, 10.1.3.3.0
- Oracle Application Server 10g Release 2 (10.1.2), versions 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
- Oracle Application Server 10g (9.0.4), version 9.0.4.3
- Oracle Collaboration Suite 10g, version 10.1.2
- Oracle E-Business Suite Release 12, version 12.0.4
- Oracle E-Business Suite Release 11i, version 11.5.10.2
- Oracle PeopleSoft Enterprise PeopleTools versions 8.22.19, 8.48.16, 8.49.09
- Oracle PeopleSoft Enterprise HCM versions 8.8 SP1, 8.9, 9.0
- Oracle Siebel SimBuilder versions 7.8.2, 7.8.5
| | | | | | | | 解決辦法: | 請到Oracle 官方網站,依系統及程式版本下載並安裝適當的修補程式: | | | | | | | 細節描述: | Oracle 公司於日前發佈本年第二次弱點修補程式,共計提供41 個安全修補程式,接下來預計發佈修補通告日期為:7月15日、10月14日及2009年1月13日。
本次發佈的多項弱點共影響了多種Oracle 產品,包括了:Oracle Database 11g、Oracle Database 10g、Oracle Database 9i、Oracle Application Server 10g、Oracle Collaboration Suite 10g、Oracle E-Business Suite Release 12、Oracle E-Business Suite Release 11i、Oracle PeopleSoft Enterprise PeopleTools、Oracle PeopleSoft Enterprise HCM、Oracle Siebel SimBuilder等。
第一個弱點是因為透過傳送未指定的參數給SDO_GEOM、SDO_IDX 與SDO_UTIL 套件,由於輸入進來的參數在使用於SQL 查詢之前,並沒有經過適當的檢查,所以會發生錯誤,導致弱點產生,惡意人士可以利用注入(Injection) 任意SQL 指令碼的方式,操縱SQL 查詢。
第二個弱點是因為DBMS_STATS_INTERNAL 套件將OUTLN 帳戶的密碼回復至預設值,並會在建立實體景觀(materialized view) 時,授予DBA 的權限給OUTLN 帳號。
第三個弱點存在於"wwv_execute_immediate" 套件中的"run ddl" Function,這個套件內包含了"flows_030000" schema Function,此Function 會允許攻擊者,利用其它任意的資料庫使用者身分執行SQL 指令,例如"SYS" 如果要能成功利用此弱點進行攻擊,攻擊者必須要先能存取可以執行"flows_030000.wwv_execute_immediate.run_ddl" Function 的帳號,Oracle Database 11g 在預設安裝的情況下,下列的非DBA 用戶可以執行此Function: WMSYS, WKSYS, FLOWS_030000, OUTLN。
Oracle 已針對這些弱點,推出重大安全更新,中華電信SOC 建議使用者應儘速更新Oracle 所推出的安全性修正檔,以降低受駭風險。 | | | | | | | 參考資訊: | Oracle
iDefense Labs
Secunia |
|
|
|
|