Vulnerability Bulletins |
Múltiples vulnerabilidades en productos Oracle |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Compromiso Root |
Dificulty | Avanzado |
Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
Property | Value |
Affected manufacturer | Comercial Software |
Affected software |
Oracle Database 10g Release 1, v. 10.1.0.2 Oracle9i Database Server Release 2, v. 9.2.0.4 - 9.2.0.5 Oracle9i Database Server Release 1, v. 9.0.1.4, 9.0.1.5, 9.0.4 Oracle8i Database Server Release 3, v. 8.1.7.4 Oracle Enterprise Manager Grid Control 10g, v. 10.1.0.2 Oracle Enterprise Manager Database Control 10g, v. 10.1.0.2 Oracle Application Server 10g (9.0.4), v. 9.0.4.0, 9.0.4.1 Oracle9i Application Server Release 2, v. 9.0.2.3, 9.0.3.1 Oracle9i Application Server Release 1, v. 1.0.2.2 Oracle Collaboration Suite Oracle E-Business Suite 11i |
Description |
|
Se han descubierto múltiples vulnerabilidades en varios productos de Oracle: Oracle Database Server, Oracle Enterprise Manager Grid Control, Oracle Enterprise Manager Database Control, Oracle Application Server, Oracle Collaboration Suite y Oracle E-Business Suite 11i. Las vulnerabilidades que afectan a estos productos son de diferente tipo como desbordamientos de búfer, bugs de formato o problemas de inyección de código SQL. La explotación de estas vulnerabilidades podría permitir a un atacante remoto la ejecución de código arbitrario en un sistema que esté ejecutando una aplicación Oracle vulnerable. Para obtener información más detallada sobre las diferentes vulnerabilidades se recomienda visitar los enlaces proporcionados en la sección "Recursos adicionales". |
|
Solution |
|
Actualización de software Oracle MetaLink Document ID 281189.1 http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=281189.1 |
|
Standar resources |
|
Property | Value |
CVE |
CAN-2004-0637 CAN-2004-0638 |
BID | 10871 |
Other resources |
|
Oracle Security Update Alert #68 http://www.oracle.com/technology/deploy/security/pdf/2004alert68.pdf US-CERT Technical Cyber Security Alert TA04-245A http://www.us-cert.gov/cas/techalerts/TA04-245A.html SHATTER Team Security Alert http://www.appsecinc.com/resources/alerts/oracle/2004-0001/ NGSSoftware Security Advisory http://www.nextgenss.com/advisories/oracle-01.txt PeteFinnigan.com security advisory – DBMS_SCHEDULER http://www.petefinnigan.com/dbms_scheduler.pdf Red database security Advisory RDS_20040903_1 http://www.red-database-security.com/advisory/advisory_20040903_1.htm Red database security Advisory RDS_20040903_2 http://www.red-database-security.com/advisory/advisory_20040903_2.htm Red database security Advisory RDS_20040903_3 http://www.red-database-security.com/advisory/advisory_20040903_3.htm iDEFENSE Security Advisory 09.02.04b http://www.idefense.com/application/poi/display?id=136&type=vulnerabilities&flashstatus=true iDEFENSE Security Advisory 09.02.04a http://www.idefense.com/application/poi/display?id=135&type=vulnerabilities&flashstatus=true |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2004-09-03 |
1.1 | CANs añadidos. Recursos adicionales actualizados. | 2004-09-06 |
1.2 | BID y CERT-VN añadidos. Recursos adicionales actualizados. | 2006-03-06 |