Oracle 及 BEA 產品多個執行程式碼漏洞
風險: 中度風險
在不同的 Oracle 及 BEA 產品中發現多個漏洞,遠端或本機攻擊者可利用漏洞進行阻斷服務、讀取及竄改某些資料、洩漏敏感資料、進行 SQL 資料隱碼攻擊、繞過保安限制或執行任意程式碼。
這是由於 Job Queue、Oracle OLAP、Oracle Spatial、Oracle Streams、SQL*Plus Windows GUI、TimesTen Data Server、Oracle Secure Backup、OC4J、Oracle BPEL Process Manager、Oracle Portal、Oracle JDeveloper、Collaborative Workspaces、 Oracle Application Object Library、iProcurement、Oracle Applications Framework、Oracle Applications Platform Engineering、Oracle Enterprise Manager、PeopleSoft Enterprise Components、PeopleSoft Enterprise HRMS、PeopleSoft Enterprise Campus Solutions、ePerformance、JD Edwards Tools、WebLogic Server Plugins、WebLogic Portal 及 WebLogic Server 發生錯誤所引致。
影響
- 阻斷服務
- 遠端執行程式碼
- 繞過保安限制
- 資料洩露
受影響之系統或技術
- Oracle Database 11g 版本 11.1.0.6
- Oracle Database 10g Release 2 版本 10.2.0.2
- Oracle Database 10g Release 2 版本 10.2.0.3
- Oracle Database 10g Release 2 版本 10.2.0.4
- Oracle Database 10g 版本 10.1.0.5
- Oracle Database 9i Release 2 版本 9.2.0.8
- Oracle Database 9i Release 2 版本 9.2.0.8DV
- Oracle Secure Backup 版本 10.2.0.2
- Oracle Secure Backup 版本 10.2.0.3
- Oracle Secure Backup 版本 10.1.0.1
- Oracle Secure Backup 版本 10.1.0.2
- Oracle Secure Backup 版本 10.1.0.3
- Oracle TimesTen In-Memory Database 版本 7.0.5.1.0
- Oracle TimesTen In-Memory Database 版本 7.0.5.2.0
- Oracle TimesTen In-Memory Database 版本 7.0.5.3.0
- Oracle TimesTen In-Memory Database 版本 7.0.5.4.0
- Oracle Application Server 10g Release 3 (10.1.3) 版本 10.1.3.3.0
- Oracle Application Server 10g Release 2 (10.1.2) 版本 10.1.2.2.0
- Oracle Application Server 10g Release 2 (10.1.2) 版本 10.1.2.3.0
- Oracle Collaboration Suite 10g 版本 10.1.2
- Oracle E-Business Suite Release 12 版本 12.0.6
- Oracle E-Business Suite Release 11i 版本 11.5.10.2
- Oracle Enterprise Manager Grid Control 10g Release 4 版本 10.2.0.4
- PeopleSoft Enterprise HRMS 版本 8.9
- PeopleSoft Enterprise HRMS 版本 9.0
- JD Edwards Tools 版本 8.97
- Oracle WebLogic Server (之前稱為 BEA WebLogic Server) 版本 10.0 至 MP1
- Oracle WebLogic Server (之前稱為 BEA WebLogic Server) 版本 10.3 GA
- Oracle WebLogic Server (之前稱為 BEA WebLogic Server) 版本 9.0 GA
- Oracle WebLogic Server (之前稱為 BEA WebLogic Server) 版本 9.1 GA
- Oracle WebLogic Server (之前稱為 BEA WebLogic Server) 版本 9.2 至 MP3
- Oracle WebLogic Server (之前稱為 BEA WebLogic Server) 版本 8.1 至 SP6
- Oracle WebLogic Server (之前稱為 BEA WebLogic Server) 版本 7.0 至 SP7
- Oracle WebLogic Portal (之前稱為 BEA WebLogic Portal) 版本 10.0 至 MP1
- Oracle WebLogic Portal (之前稱為 BEA WebLogic Portal) 版本 10.2 GA
- Oracle WebLogic Portal (之前稱為 BEA WebLogic Portal) 版本 10.3 GA
- Oracle WebLogic Portal (之前稱為 BEA WebLogic Portal) 版本 9.2 至 MP3
- Oracle WebLogic Portal (之前稱為 BEA WebLogic Portal) 版本 8.1 至 SP6
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
- 安裝 Oracle 緊急修補程式 - 2009年1月 :
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2009.html
漏洞識別碼
- CVE-2008-2623
- CVE-2008-3973
- CVE-2008-3974
- CVE-2008-3978
- CVE-2008-3979
- CVE-2008-3981
- CVE-2008-3997
- CVE-2008-3999
- CVE-2008-4006
- CVE-2008-4007
- CVE-2008-4014
- CVE-2008-4015
- CVE-2008-4016
- CVE-2008-4017
- CVE-2008-5436
- CVE-2008-5437
- CVE-2008-5438
- CVE-2008-5439
- CVE-2008-5440
- CVE-2008-5441
- CVE-2008-5442
- CVE-2008-5443
- CVE-2008-5444
- CVE-2008-5445
- CVE-2008-5446
- CVE-2008-5447
- CVE-2008-5448
- CVE-2008-5449
- CVE-2008-5450
- CVE-2008-5451
- CVE-2008-5452
- CVE-2008-5454
- CVE-2008-5455
- CVE-2008-5456
- CVE-2008-5457
- CVE-2008-5458
- CVE-2008-5459
- CVE-2008-5460
- CVE-2008-5461
- CVE-2008-5462
- CVE-2008-5463
資料來源
相關連結
分享至