CERT-FI haavoittuvuustiedote 125/2008

15.10.2008

Oracle julkaisi lokakuun päivityspaketin

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti - ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - käyttövaltuuksien laajentaminen - tietojen muokkaaminen - luottamuksellisen tiedon hankkiminen - palvelunestohyökkäys - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Oracle on julkaissut neljännesvuosittaisen päivityspakettinsa eri Oracle-ohjelmistoille. Päivitykset sisältävät korjauksia 36 eri haavoittuvuuteen.

HAAVOITTUVAT OHJELMISTOT:

• Oracle Database 9i Release 2, versiot 9.2.0.8, 9.2.0.8DV
• Oracle Database 10g, versio 10.1.0.5
• Oracle Database 10g Release 2, versiot 10.2.0.2, 10.2.0.3, 10.2.0.4
• Oracle Database 11g, versio 11.1.0.6
• Oracle Application Server 9i Release 1, versio 1.0.2.2
• Oracle Application Server 10g (9.0.4), versio 9.0.4.3
• Oracle Application Server 10g Release 2 (10.1.2), versiot 10.1.2.2.0, 10.1.2.3.0
• Oracle Application Server 10g Release 3 (10.1.3), versiot 10.1.3.3.0,10.1.3.4.0
• Oracle E-Business Suite Release 11i, versio 11.5.10.2
• Oracle E-Business Suite Release 12, versio 12.0.4
• Oracle PeopleSoft Enterprise PeopleTools versiot 8.48.18, 8.49.14
• Oracle PeopleSoft Enterprise Portal versiot 8.9, 9.0
• Oracle JD Edwards EnterpriseOne Tools versiot 8.97, 8.98
• Oracle WebLogic Server 6.1 SP7 ja aikaisemmat versiot
• Oracle WebLogic Server 7.0 SP7 ja aikaisemmat versiot
• Oracle WebLogic Server 8.1 SP6 ja aikaisemmat versiot
• Oracle WebLogic Server 9.0 GA, 9.1 GA, 9.2 MP3 ja aikaisemmat versiot
• Oracle WebLogic Server 10.0 MP1 ja aikaisemmat versiot sekä 10.3 GA
• Oracle Workshop for WebLogic 8.1 SP6 ja aikaisemmat versiot
• Oracle Workshop for WebLogic 9.0, 9.1, 9.2 MP3 ja aikaisemmat versiot
• Oracle Workshop for WebLogic 10.0 MP1 ja aikaisemmat versiot sekä 10.2 GA ja 10.3 GA

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot valmistajan ohjeiden mukaisesti.

Seuraava päivityspaketti julkaistaan Oraclen osalta 13. tammikuuta 2009.

LISÄTIETOA:

• http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2008.html
• CVE-2008-2588, CVE-2008-2619, CVE-2008-2624, CVE-2008-2625,
• CVE-2008-3975, CVE-2008-3976, CVE-2008-3977, CVE-2008-3980,
• CVE-2008-3982, CVE-2008-3983, CVE-2008-3984, CVE-2008-3985,
• CVE-2008-3986, CVE-2008-3987, CVE-2008-3988, CVE-2008-3989,
• CVE-2008-3990, CVE-2008-3991, CVE-2008-3992, CVE-2008-3993,
• CVE-2008-3994, CVE-2008-3995, CVE-2008-3996, CVE-2008-3998,
• CVE-2008-4000, CVE-2008-4001, CVE-2008-4002, CVE-2008-4003,
• CVE-2008-4004, CVE-2008-4005, CVE-2008-4008, CVE-2008-4009,
• CVE-2008-4010, CVE-2008-4011, CVE-2008-4012, CVE-2008-4013

PÄIVITYSHISTORIA:

15.10.2008, kello 8.37: Julkaistu

Sivua päivitetty 15.10.2008

Tulostusversio