CERT-FI haavoittuvuustiedote 007/2005

19.1.2005

Useita haavoittuvuuksia Oracle-ohjelmistoissa

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti	Lisätietoja
Hyväksikäyttö:	- käyttövaltuuksien laajentaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Useista Oracle-ohjelmistoista on löydetty haavoittuvuuksia. Haavoittuvuuksia hyväksikäyttämällä rajoitetut käyttöoikeudet omaavan hyökkääjän voi olla mahdollista saada kohdejärjestelmään laajennetut käyttöoikeudet tai aiheuttaa järjestelmälle puskurinylivuototilanteen.

Oracle on luokitellut vakavimmat haavoittuvuudet helposti hyväksikäytettäviksi ja vaikutuksiltaan laajoiksi.

HAAVOITTUVAT OHJELMISTOT:

• Oracle Database 10g Release 1, versiot 10.1.0.2, 10.1.0.3 ja 10.1.0.3.1

• Oracle9i Database Server Release 2, versiot 9.2.0.4, 9.2.0.5 ja 9.2.0.6

• Oracle9i Database Server Release 1, versiot 9.0.1.4, 9.0.1.5 ja 9.0.4 (9.0.1.5 FIPS)

• Oracle8i Database Server Release 3, versio 8.1.7.4

• Oracle8 Database Release 8.0.6, versio 8.0.6.3

• Oracle Application Server 10g Release 2 (10.1.2)

• Oracle Application Server 10g (9.0.4), versiot 9.0.4.0 ja 9.0.4.1

• Oracle9i Application Server Release 2, versiot 9.0.2.3 ja 9.0.3.1

• Oracle9i Application Server Release 1, versio 1.0.2.2

• Oracle Collaboration Suite Release 2, versio 9.0.4.2

• Oracle E-Business Suite and Applications Release 11i (11.5)

• Oracle E-Business Suite and Applications Release 11.0

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistoversiot Oraclen tietoturvatiedotteen mukaisesti:

http://www.oracle.com/technology/deploy/security/pdf/cpu-jan-2005_advisory.pdf

LISÄTIETOA:

http://www.ngssoftware.com/advisories/oracle-02.txt

http://www.oracle.com/technology/deploy/security/pdf/cpu-jan-2005_advisory.pdf

PÄIVITYSHISTORIA:

19.01.2005: Julkaistu

Sivua päivitetty 19.07.2007

Tulostusversio