Oracle Database是一款商业性质大型数据库系统。Oracle发布了2008年7月的紧急补丁更新公告，修复了多个Oracle产品中的多个漏洞。这些漏洞影响Oracle产品的所有安全属性，可导致本地和远程的威胁。其中一些漏洞可能需要各种级别的授权，但也有些不需要任何授权。最严重的漏洞可能导致完全入侵数据库系统。 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
发布日期：2008-07-15 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
更新日期：2008-07-16 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
受影响系统： mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Application Server 9.0.4.3 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Application Server 10.1.3.3.0 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Application Server 10.1.3.1.0 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Application Server 10.1.2.3.0 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Application Server 10.1.2.2.0 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle E-Business Suite 12.0.4 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle E-Business Suite 11.5.10.2 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Enterprise Manager Grid Control 10.1.0.6 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Enterprise Manager Grid Control 10.1.0.5 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle PeopleSoft CRM 9.0 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle PeopleSoft CRM 8.9 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Database 9.2.0.8DV mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Database 9.2.0.8 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Database 11.1.0.6 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Database 10.2.0.4 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Database 10.2.0.3 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Database 10.2.0.2 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Database 10.1.0.5 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle PeopleSoft Enterprise PeopleTools 8.49.11 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle PeopleSoft Enterprise PeopleTools 8.48.17 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle TimesTen In-Memory Database 7.0.3.0.0 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Hyperion BI Plus 9.3.1.0 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Hyperion BI Plus 9.2.1.0 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Hyperion BI Plus 9.2.0.3 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Hyperion Performance Suite 8.5.0.3 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Hyperion Performance Suite 8.3.2.4 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Enterprise Manager Database Control 11.1.0.6 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Enterprise Manager Database Control 10.2.0.4 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Enterprise Manager Database Control 10.2.0.3 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Enterprise Manager Database Control 10.2.0.2 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Enterprise Manager Database Control 10.1.0.5 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle WebLogic Server 9.2 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle WebLogic Server 9.1 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle WebLogic Server 9.0 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle WebLogic Server 8.1 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle WebLogic Server 7.0 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle WebLogic Server 6.1 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle WebLogic Server 10.0 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
描述： mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
---------------------------------------------------------------------------- mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
BUGTRAQ ID: 30177 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
CVE(CAN) ID: CVE-2008-2607,CVE-2008-2613,CVE-2008-2592,CVE-2008-2604,CVE-2008-2591,CVE-2008-2600,CVE-2008-2602,CVE-2008-2605,CVE-2008-2611,CVE-2008-2608,CVE-2008-2590,CVE-2008-2603,CVE-2008-2587,CVE-2008-2597,CVE-2008-2598,CVE-2008-2599,CVE-2008-2589,CVE-2008-2594,CVE-2008-2609,CVE-2008-2595,CVE-2008-2612,CVE-2008-2614,CVE-2008-2583,CVE-2008-2593,CVE-2008-2596,CVE-2008-2601,CVE-2008-2586,CVE-2008-2606,CVE-2008-2610,CVE-2008-2615,CVE-2008-2622,CVE-2008-2616,CVE-2008-2617,CVE-2008-2618,CVE-2008-2620,CVE-2008-2621,CVE-2008-2579,CVE-2008-2581,CVE-2008-2582,CVE-2008-2577,CVE-2008-2578,CVE-2008-2576,CVE-2008-2580 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle Database是一款商业性质大型数据库系统。 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle发布了2008年7月的紧急补丁更新公告，修复了多个Oracle产品中的多个漏洞。这些漏洞影响Oracle产品的所有安全属性，可导致本地和远程的威胁。其中一些漏洞可能需要各种级别的授权，但也有些不需要任何授权。最严重的漏洞可能导致完全入侵数据库系统。目前已知的漏洞包括： mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle应用服务器在后端数据库安装了一些PLSQL软件包，其中的WWV_RENDER_REPORT软件包存在PLSQL注入漏洞。SHOW过程取将要执行的函数名称作为其第二个参数，而该参数未经过滤便嵌入了PLSQL的动态执行匿名块。由于是匿名PLSQL块，因此攻击者可以通过在execute immediate中包装语句并指定autonomous_transaction pragma来执行任意SQL语句。 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Linux和Unix平台的Oracle数据库所发布的一个set-uid程序中存在安全漏洞。如果该程序加载了被替换过的模块的话，就会导致以root用户权限执行任意代码。如果要利用这个漏洞，攻击者必须可以访问数据库所有者帐号（通常为oracle）或为oracle安装组的成员（通常为oinstall）。 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle的Internet Directory服务由两个进程组成，一个为处理入站连接并将连接传送给第二个进程的监听程序，另一个用于处理请求。在处理畸形的LDAP请求时，处理程序可能会引用空指针，导致进程崩溃。如果要利用这个漏洞，攻击者必须能够在有漏洞的服务器上创建LDAP会话，通常通过TCP 389端口或启用了SSL的TCP 636端口。 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle数据库产品所安装的DBMS_AQELM软件包没有正确地验证用户输入，如果远程攻击者在请求中提供了超长字符串的话就可以触发缓冲区溢出，导致以数据库用户的权限执行任意代码。如果要利用这个漏洞，攻击者必须拥有可执行DBMS_AQELM软件包权限的数据库帐号，默认为AQ_ADMINISTRATOR_ROLE。 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
<*来源：Esteban Martinez Fayo mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Alexander Kornbrust （ak@red-database-security.com） mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
David Litchfield （david@nextgenss.com） mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
链接：http://marc.info/?l=full-disclosure&m=121615542720938&w=2 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
http://secunia.com/advisories/31087/ mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
http://marc.info/?l=full-disclosure&m=121624986819068&w=2 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
http://www.oracle.com/technology/deploy/security/critical-patch- mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
updates/cpujul2008.html?_template=/o mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=727 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=725 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=726 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
*> mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
建议： mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
---------------------------------------------------------------------------- mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
厂商补丁： mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
------ mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
Oracle已经为此发布了一个安全公告（cpujul2008）以及相应补丁: mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
cpujul2008：Oracle Critical Patch Update Advisory - July 2008 mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
链接：http://www.oracle.com/technology/deploy/security/critical-patch- mdx霏凡软件站> 资讯中心
mdx霏凡软件站> 资讯中心
updates/cpujul2008.html?_template=/o