Эксперты по информационной безопасности обнаружили множественные уязвимости в продуктах Oracle. Обнаруженные уязвимости позволяют удаленному пользователю произвести SQL-инъекцию и скомпрометировать целевую систему. Компания-производитель выпустила соответствующий патч. Уязвимость существует из-за недостаточной обработки входных данных в процедурах «IMPORT_CHANGE_SET», «IMPORT_CHANGE_TABLE», «IMPORT_CHANGE_COLUMN», «IMPORT_SUBSCRIBER», «IMPORT_SUBSCRIBED_TABLE», «IMPORT_SUBSCRIBED_COLUMN», «VALIDATE_IMPORT», «VALIDATE_CHANGE_SET», «VALIDATE_CHANGE_TABLE» и «VALIDATE_SUBSCRIPTION» из пакета «sys.dbms_cdc_impdp». Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL-команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL-функций. Уязвимость существует из-за недостаточной обработки входных данных в процедуре «MAIN» в пакете «sys.kupw$worker». Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL-команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL-функций. Уязвимость существует из-за недостаточной обработки входных данных в пакете «sys.dbms_stats». Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL-команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL-функций. Уязвимость существует из-за недостаточной обработки входных данных в пакете «sys.dbms_upgrade». Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL-команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL-функций. «Дырам» присвоен рейтинг опасности «высокая». Уязвимы JD Edwards EnterpriseOne 8.x; JD Edwards OneWorld 8.x; Oracle Application Server 10g; Oracle Collaboration Suite 10.x; Oracle Database 10g; Oracle Database 8.x; Oracle E-Business Suite 11i; Oracle Enterprise Manager 10.x; Oracle PeopleSoft Enterprise Tools 8.x; Oracle Pharmaceutical Applications 4.x; Oracle Workflow 11.x; Oracle9i Application Server; Oracle9i Collaboration Suite; Oracle9i Database Enterprise Edition; Oracle9i Database Standard Edition; Oracle9i Developer Suite.
Источник