Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en productos Oracle |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Compromiso Root |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado |
Oracle Database 10g Release 1, v. 10.1.0.2 Oracle9i Database Server Release 2, v. 9.2.0.4 - 9.2.0.5 Oracle9i Database Server Release 1, v. 9.0.1.4, 9.0.1.5, 9.0.4 Oracle8i Database Server Release 3, v. 8.1.7.4 Oracle Enterprise Manager Grid Control 10g, v. 10.1.0.2 Oracle Enterprise Manager Database Control 10g, v. 10.1.0.2 Oracle Application Server 10g (9.0.4), v. 9.0.4.0, 9.0.4.1 Oracle9i Application Server Release 2, v. 9.0.2.3, 9.0.3.1 Oracle9i Application Server Release 1, v. 1.0.2.2 Oracle Collaboration Suite Oracle E-Business Suite 11i |
Descripción |
|
Se han descubierto múltiples vulnerabilidades en varios productos de Oracle: Oracle Database Server, Oracle Enterprise Manager Grid Control, Oracle Enterprise Manager Database Control, Oracle Application Server, Oracle Collaboration Suite y Oracle E-Business Suite 11i. Las vulnerabilidades que afectan a estos productos son de diferente tipo como desbordamientos de búfer, bugs de formato o problemas de inyección de código SQL. La explotación de estas vulnerabilidades podría permitir a un atacante remoto la ejecución de código arbitrario en un sistema que esté ejecutando una aplicación Oracle vulnerable. Para obtener información más detallada sobre las diferentes vulnerabilidades se recomienda visitar los enlaces proporcionados en la sección "Recursos adicionales". |
|
Solución |
|
Actualización de software Oracle MetaLink Document ID 281189.1 http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=281189.1 |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CAN-2004-0637 CAN-2004-0638 |
BID | 10871 |
Recursos adicionales |
|
Oracle Security Update Alert #68 http://www.oracle.com/technology/deploy/security/pdf/2004alert68.pdf US-CERT Technical Cyber Security Alert TA04-245A http://www.us-cert.gov/cas/techalerts/TA04-245A.html SHATTER Team Security Alert http://www.appsecinc.com/resources/alerts/oracle/2004-0001/ NGSSoftware Security Advisory http://www.nextgenss.com/advisories/oracle-01.txt PeteFinnigan.com security advisory – DBMS_SCHEDULER http://www.petefinnigan.com/dbms_scheduler.pdf Red database security Advisory RDS_20040903_1 http://www.red-database-security.com/advisory/advisory_20040903_1.htm Red database security Advisory RDS_20040903_2 http://www.red-database-security.com/advisory/advisory_20040903_2.htm Red database security Advisory RDS_20040903_3 http://www.red-database-security.com/advisory/advisory_20040903_3.htm iDEFENSE Security Advisory 09.02.04b http://www.idefense.com/application/poi/display?id=136&type=vulnerabilities&flashstatus=true iDEFENSE Security Advisory 09.02.04a http://www.idefense.com/application/poi/display?id=135&type=vulnerabilities&flashstatus=true |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2004-09-03 |
1.1 | CANs añadidos. Recursos adicionales actualizados. | 2004-09-06 |
1.2 | BID y CERT-VN añadidos. Recursos adicionales actualizados. | 2006-03-06 |