CERT-FI varoitus 33/2005

13.4.2005

Useita haavoittuvuuksia Oracle-ohjelmistoissa

Oracle on julkaissut korjauksen ohjelmistoistaan löytyneisiin useisiin haavoittuvuuksiin, joista osa on kriittisiä. Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi olla mahdollista esimerkiksi suorittaa kohdejärjestelmässä omia komentojaan tai kohdistaa järjestelmään palvelunestohyökkäys.

Joistakin Oracle-ohjelmistojen haavoittuvuuksista on julkaistu 18.4.2005 yksityiskohtaisempia tietoja. Osaan haavoittuvuuksista on julkaistu haavoittuvuuden mahdollisen hyväksikäytön toteen näyttävä PoC (Proof of Concept) -koodi.

VAROITUKSEN KOHDERYHMÄ:

Oracle Database 10g Release 1, versiot 10.1.0.2, 10.1.0.3, 10.1.0.3.1 ja 10.1.0.4
Oracle9i Database Server Release 2, versiot 9.2.0.5 ja 9.2.0.6
Oracle9i Database Server Release 1, versiot 9.0.1.4, 9.0.1.5 ja 9.0.4 (9.0.1.5 FIPS)
Oracle8i Database Server Release 3, versio 8.1.7.4
Oracle Application Server 10g Release 2 (10.1.2)
Oracle Application Server 10g (9.0.4), versiot 9.0.4.0 ja 9.0.4.1
Oracle9i Application Server Release 2, versiot 9.0.2.3 ja 9.0.3.1
Oracle9i Application Server Release 1, versio 1.0.2.2
Oracle Collaboration Suite Release 2, versiot 9.0.4.1 ja 9.0.4.2
Oracle E-Business Suite and Applications Release 11i, versiosta 11.5.0 versioon 11.5.10
Oracle E-Business Suite and Applications Release 11.0
Oracle Enterprise Manager Grid Control 10g, versiot 10.1.0.2 ja 10.1.0.3
Oracle Enterprise Manager versiot 9.0.4.0 ja 9.0.4.1
PeopleSoft EnterpriseOne Applications, versiot 8.9 SP2 ja 8.93
PeopleSoft OneWorldXe/ERP8 Applications, versio SP22 ja sitä korkeammat versiot