07-14-2005, 03:58 PM
Se han reportado 47 vulnerabilidades que afectan a diversos productos Oracle, las cuales podrían ser explotadas por atacantes remotos para provocar una denegación de servicio (DoS), ejecutar comandos arbitrarios y efectuar ataques de SQL injection.
Resumen
Errores en varios productos Oracle podrían permitir a un atacante remoto provocar una denegación de servicio (DoS), ejecutar comandos arbitrarios y efectuar ataques de \"SQL injection\".
Versiones Afectadas
Los siguientes productos son afectados por una o más vulnerabilidades:
* Oracle Database 10g Release 1, versions 10.1.0.2, 10.1.0.3, 10.1.0.4
* Oracle9i Database Server Release 2, versions 9.2.0.5, 9.2.0.6
* Oracle9i Database Server Release 1, versions 9.0.1.4, 9.0.1.5, 9.0.1.5
FIPS
* Oracle8i Database Server Release 3, version 8.1.7.4
* Oracle8 Database Release 8.0.6, version 8.0.6.3
* Oracle Enterprise Manager Grid Control 10g, versions 10.1.0.2, 10.1.0.3
* Oracle Enterprise Manager 10g Database Control, versions 10.1.0.2, 10.1.0.3, 10.1.0.4
* Oracle Enterprise Manager Application Server Control, versions 9.0.4.0, 9.0.4.1
* Oracle Application Server 10g (9.0.4), versions 9.0.4.0, 9.0.4.1
* Oracle9i Application Server Release 2, versions 9.0.2.3, 9.0.3.1
* Oracle9i Application Server Release 1, version 1.0.2.2
* Oracle Collaboration Suite Release 2, versions 9.0.4.1, 9.0.4.2
* Oracle E-Business Suite and Applications Release 11i, versions 11.5.1 through 11.5.10
* Oracle E-Business Suite and Applications Release 11.0
* Oracle Workflow, versions 11.5.1 through 11.5.9.5
* Oracle Forms and Reports, versions 4.5.10.22, 6.0.8.25
* Oracle JInitiator, versions 1.1.8, 1.3.1
* Oracle Developer Suite, versions 9.0.2.3, 9.0.4, 9.0.4.1, 9.0.5, 10.1.2
* Oracle Express Server, version 6.3.4.0
Detalle
Si bien la mayoría de las vulnerabilidades no se han especificado, existe el detalle de las siguientes:
1) JDeveloper inicia sqlplus utilizando una contraseña en texto claro como parámetro.
2) Las contraseñas de la base de datos se almacenan en texto claro en los archivos de configuración de JDeveloper: \"IDEConnections.xml\", \"XSQLConfig.xml\", y \"settings.xml\".
3) Archivos temporales creados por Oracle Forms Builder en el directorio local \"temp\" contienen en texto claro los nombres de usuarios y contraseñas de las conexiones en uso por Forms Builder. Estos archivos no se eliminan mientras exista Forms Builder.
4) La aplicación Oracle Forms crea un archivo temporal en el directorio \"/tmp\" del servidor de aplicación si el número de registros extraídos de la base de datos excede el parámetro \"buffered records\". Dicho archivo temporal tiene permiso de lectura para todos y contiene una copia no encriptada de los registros extraídos de la base de datos. Esto permite a los usuarios locales conocer información almacenada en la base de datos.
5) Varias vulnerabilidades no especificadas de \"SQL injection\" y manipulación de parámetros en la SuiteE-Business de Oracle podrían ser explotadas para ejecutar sentencias SQL maliciosasen la base de datos con los privilegios de la cuenta dueña de la base de datos.
Impacto
El impacto de estas vulnerabilidades es ALTO.
Recomendaciones
Aplicar las actualizaciones correspondientes
Referencias
Alerta original
Red Database Security:
http://www.red-database-security.com/adv...sword.html
http://www.red-database-security.com/adv...sword.html
http://www.red-database-security.com/adv...issue.html
http://www.red-database-security.com/adv...dling.html
Integrigy
FrSIRT
Security Focus
Saludos!!!...
Resumen
Errores en varios productos Oracle podrían permitir a un atacante remoto provocar una denegación de servicio (DoS), ejecutar comandos arbitrarios y efectuar ataques de \"SQL injection\".
Versiones Afectadas
Los siguientes productos son afectados por una o más vulnerabilidades:
* Oracle Database 10g Release 1, versions 10.1.0.2, 10.1.0.3, 10.1.0.4
* Oracle9i Database Server Release 2, versions 9.2.0.5, 9.2.0.6
* Oracle9i Database Server Release 1, versions 9.0.1.4, 9.0.1.5, 9.0.1.5
FIPS
* Oracle8i Database Server Release 3, version 8.1.7.4
* Oracle8 Database Release 8.0.6, version 8.0.6.3
* Oracle Enterprise Manager Grid Control 10g, versions 10.1.0.2, 10.1.0.3
* Oracle Enterprise Manager 10g Database Control, versions 10.1.0.2, 10.1.0.3, 10.1.0.4
* Oracle Enterprise Manager Application Server Control, versions 9.0.4.0, 9.0.4.1
* Oracle Application Server 10g (9.0.4), versions 9.0.4.0, 9.0.4.1
* Oracle9i Application Server Release 2, versions 9.0.2.3, 9.0.3.1
* Oracle9i Application Server Release 1, version 1.0.2.2
* Oracle Collaboration Suite Release 2, versions 9.0.4.1, 9.0.4.2
* Oracle E-Business Suite and Applications Release 11i, versions 11.5.1 through 11.5.10
* Oracle E-Business Suite and Applications Release 11.0
* Oracle Workflow, versions 11.5.1 through 11.5.9.5
* Oracle Forms and Reports, versions 4.5.10.22, 6.0.8.25
* Oracle JInitiator, versions 1.1.8, 1.3.1
* Oracle Developer Suite, versions 9.0.2.3, 9.0.4, 9.0.4.1, 9.0.5, 10.1.2
* Oracle Express Server, version 6.3.4.0
Detalle
Si bien la mayoría de las vulnerabilidades no se han especificado, existe el detalle de las siguientes:
1) JDeveloper inicia sqlplus utilizando una contraseña en texto claro como parámetro.
2) Las contraseñas de la base de datos se almacenan en texto claro en los archivos de configuración de JDeveloper: \"IDEConnections.xml\", \"XSQLConfig.xml\", y \"settings.xml\".
3) Archivos temporales creados por Oracle Forms Builder en el directorio local \"temp\" contienen en texto claro los nombres de usuarios y contraseñas de las conexiones en uso por Forms Builder. Estos archivos no se eliminan mientras exista Forms Builder.
4) La aplicación Oracle Forms crea un archivo temporal en el directorio \"/tmp\" del servidor de aplicación si el número de registros extraídos de la base de datos excede el parámetro \"buffered records\". Dicho archivo temporal tiene permiso de lectura para todos y contiene una copia no encriptada de los registros extraídos de la base de datos. Esto permite a los usuarios locales conocer información almacenada en la base de datos.
5) Varias vulnerabilidades no especificadas de \"SQL injection\" y manipulación de parámetros en la SuiteE-Business de Oracle podrían ser explotadas para ejecutar sentencias SQL maliciosasen la base de datos con los privilegios de la cuenta dueña de la base de datos.
Impacto
El impacto de estas vulnerabilidades es ALTO.
Recomendaciones
Aplicar las actualizaciones correspondientes
Referencias
Alerta original
Red Database Security:
http://www.red-database-security.com/adv...sword.html
http://www.red-database-security.com/adv...sword.html
http://www.red-database-security.com/adv...issue.html
http://www.red-database-security.com/adv...dling.html
Integrigy
FrSIRT
Security Focus
Saludos!!!...