CERT-FI haavoittuvuustiedote 136/2007

17.10.2007

Oracle julkaisi kolmannen vuosineljänneksen päivitykset

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - käyttövaltuuksien laajentaminen - tietojen muokkaaminen - luottamuksellisen tiedon hankkiminen - palvelunestohyökkäys - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Oracle on julkaissut päivitykset Oracle Database -tietokantapalvelimeen, Oracle Application Server -sovelluspalvelimeen ja useisiin muihin tuotteisiin. Päivitys korjaa yhteensä 51 haavoittuvuutta, joista suureen osaan ei ole julkistettu teknisiä yksityiskohtia. Osa haavoittuvuuksista on vakavia. CVSS 2.0 luokitukseltaan vakavin haavoittuvuus on Oracle Application Serverin Oracle Process Mgmt & Notification -komponentissa ja sen CVSS 2.0 pistearvo on 6,8. Osaan haavoittuvuuksista on julkaistu hyväksikäyttömenetelmä.

HAAVOITTUVAT OHJELMISTOT:

• Oracle Database
• Oracle Application Server
• Oracle Collaboration Suite
• Oracle E-Business Suite
• Oracle Enterprise Manager
• Oracle PeopleSoft

Tarkemmat tiedot haavoittuvista ohjelmistoversioista saa valmistajan julkaisemasta tiedotteesta:

http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2007.html

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot valmistajan ohjeen mukaisesti.

Seuraavat Oracle-päivitykset julkaistaan 15 tammikuuta 2008.

LISÄTIETOA:

• http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2007.html
• http://www.integrigy.com/oracle-security-blog/archive/2007/10/12/cpu-october-2007-prerelease/view
• http://www.frsirt.com/english/advisories/2007/3524

PÄIVITYSHISTORIA:

17.10.2007, kello 16.25: Julkaistu

Sivua päivitetty 17.10.2007

Tulostusversio