Oracle 2009年7月紧急补丁更新修复多个漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1117956 漏洞类型 Failure to Handle Exceptional Conditions
发布时间 2009-06-14 更新时间 2009-07-24
CVE编号 CVE-2009-1020 CNNVD-ID CNNVD-200907-208
漏洞平台 Multiple CVSS评分 9.0
|漏洞来源
https://www.exploit-db.com/exploits/33084
https://www.securityfocus.com/bid/35684
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200907-208
|漏洞详情
OracleDatabase是一款商业性质大型数据库系统。Oracle发布了2009年4月的紧急补丁更新公告,修复了多个Oracle产品中的多个漏洞。这些漏洞影响Oracle产品的所有安全属性,可导致本地和远程的威胁。其中一些漏洞可能需要各种级别的授权,但也有些不需要任何授权。最严重的漏洞可能导致完全入侵数据库系统。1)JRockit中的多个安全漏洞可能导致拒绝服务或入侵用户系统。2)OracleComplexEventProcessing(CEP)中的漏洞可能导致泄漏敏感信息。3)OracleWebLogicServer(Web服务组件)和Oracle安全部署工具包/OracleWeb服务管理器处理某些XMLSignature文档的方式存在错误。4)OracleSecureEnterpriseSearch没有正确的验证对/search/query/search所传送的search_p_groups参数,远程攻击者可以通过提交恶意请求执行跨站脚本攻击。5)OracleWebLogicServer没有正确的验证对consolehelp/console-help.portal所传送的searchQuery参数,远程攻击者可以通过提交恶意请求执行跨站脚本攻击。
|漏洞EXP
source: http://www.securityfocus.com/bid/35684/info

Oracle Database is prone to a remote vulnerability in Network Foundation.

The vulnerability can be exploited over the 'Oracle Net' protocol. An attacker doesn't require privileges to exploit this vulnerability.

The following supported versions are affected:

9.2.0.8
9.2.0.8DV
10.1.0.5
10.2.0.4
11.1.0.7 

https://github.com/offensive-security/exploit-database-bin-sploits/raw/master/bin-sploits/33084.zip
|受影响的产品
Oracle Oracle9i Standard Edition 9.2 .8DV Oracle Oracle9i Standard Edition 9.2 .8 Oracle Oracle9i Personal Edition 9.2 .8DV Oracle Oracle9i Personal Edition 9.2 .8 Oracle Oracle9i Enterprise
|参考资料

来源:www.oracle.com
链接:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2009.html
来源:XF
名称:oracle-database-netfoundation-unspecified(51749)
链接:http://xforce.iss.net/xforce/xfdb/51749
来源:VUPEN
名称:ADV-2009-1900
链接:http://www.vupen.com/english/advisories/2009/1900
来源:SECTRACK
名称:1022560
链接:http://www.securitytracker.com/id?1022560
来源:BID
名称:35684
链接:http://www.securityfocus.com/bid/35684
来源:SECUNIA
名称:35776
链接:http://secunia.com/advisories/35776
来源:OSVDB
名称:55897
链接:http://osvdb.org/55897