- Otras noticias
Desbordamiento de búfer en CiscoWorks Common Services
Surgen los primeros virus telefónicos
Actualizaciones de seguridad para Adobe Reader y Acrobat 
Hoax.Renos. muestra un mensaje falso de infección.jpg)
El gusano Aimdes.E. se propaga por AOL Instant Messenger
La huella dactilar refuerza la seguridad de la banca
¿Está roto el cifrado AES?
Consejos para realizar la declaración de la renta online de forma segura
Los spammers se "ponen las pilas" en verano
Parche para ColdFusion MX y JRun 4.0 por denegación de servicio
- En el foro
-
VULNERABILIDADES
Múltiples vulnerabilidades en productos de Oracle
20 Ene 2005 | HISPASEC
Si bien la mayor parte de las vulnerabilidades descubiertas permiten el acceso a información sensible y la manipulación de datos, otras permitirían también realizar ataques de inyección PL/SQL, denegación de servicio o escalada de privilegios.
La compañía aplica el adjetivo potencial a la mayor parte de las
vulnerabilidades y especifica en gran cantidad de ellas requisitos como permisos de ejecución sobre determinados paquetes, o estar en una sesión válida.
En resumen, los componentes afectados (que no las vulnerabilidades individuales) serían los siguientes, con sus ulnerabilidades asociadas:
* Networking (DoS)
* LOB Access (AIS)
* Spatial (AIS, MdI, DoS)
* UTL_FILE (MdI)
* Diagnostic (AIS, MdI, DoS)
* XDB (AIS, MdI)
* Dataguard (AIS, MdI)
* Log Miner (AIS, MdI)
* OLAP (AIS, MdI)
* Data Mining (AIS, MdI)
* Advanced Queuing (AIS, MdI)
* Change Data Capture (AIS, MdI)
* Database Core (AIS, MdI)
* OHS (AIS, MdI)
* Report Server (AIS, MdI)
* Forms (DoS)
* mod_plsql (AIS, MdI)
* Calendar (AIS, MdI, DoS)
Adicionalmente, se han detectado también errores en Oracle E-Business Suite que podrían ser explotados para acceder a información sensible o manipularla.
Los acrónimos usados para simplificar la enumeración son los siguientes:
AIS: Acceso a información sensible
MdI: Manipulación de información
DoS: Denegación de servicio
Los productos afectados por estas vulnerabilidades serían los siguientes:
* Oracle8 Database Release 8.0.6 (versión 8.0.6.3)
* Oracle8i Database Server Release 3 (versión 8.1.7.4)
* Oracle9i Database Server Release 1 (versiones 9.0.1.4, 9.0.1.5 y 9.0.4)
* Oracle9i Database Server Release 2 (versiones 9.2.0.4, 9.2.0.5 y 9.2.0.6)
* Oracle9i Application Server Release 1 (versión 1.0.2.2)
* Oracle9i Application Server Release 2 (versiones 9.0.2.3 y 9.0.3.1)
* Oracle Database 10g Release 1 (versiones 10.1.0.2, 10.1.0.3 y 10.1.0.3.1)
* Oracle Application Server 10g (9.0.4, versiones 9.0.4.0 y 9.0.4.1)
* Oracle Application Server 10g Release 2 (10.1.2)
* Oracle Collaboration Suite Release 2 (version 9.0.4.2)
* Oracle E-Business Suite and Applications Release 11i (11.5)
* Oracle E-Business Suite and Applications Release 11.0
El enlace para acceder a las actualizaciones pertinentes según
plataforma es el siguiente: http://metalink.oracle.com/metalink/plsql/showdocdb=NOT&id=293953.1
Tras esto, sólo recordar que las fechas programadas para repetir este tipo de publicación son 12 de abril, 12 de julio y 18 de octubre.
Más Información:
Oracle:
http://otn.oracle.com/deploy/security/pdf/cpu-jan-2005_advisory.pdf
NGS Software:
http://www.nextgenss.com/advisories/oracle-02.txt
Pete Finnigan:
http://www.petefinnigan.com/directory_traversal.pdf
Red Database Security:
http://www.red-database-security.com/content6.html - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
