受影响系统
Oracle EBusiness Suite i CU
Oracle Enterprise Manager
Oracle Enterprise Manager
Oracle Enterprise Manager
Oracle Database g Release
Oracle Database g Release
Oracle Oraclei Database Server Release
Oracle Oraclei Database Server Release
Oracle Application Server g ()
Oracle Application Server g ()
Oracle Application Server g Release
Oracle Application Server g Release
Oracle Application Server g Release
Oracle Database g Release
Oracle Database g Release
Oracle JD Edwards EnterpriseOne Tools
Oracle JD Edwards OneWorld Tools SP
Oracle PeopleSoft Enterprise PeopleTools
Oracle PeopleSoft Enterprise PeopleTools
Oracle PeopleSoft Enterprise PeopleTools
Oracle Secure Enterprise Search g Release
Oracle Oracleg Collaboration Suite Release
Oracle Oracle EBusiness Suite Release
Oracle PeopleSoft Enterprise Human Capital Management
描述
Oracle Database是一款商业性质大型数据库系统
Oracle发布了年月的紧急补丁更新公告修复了多个Oracle产品中的多个漏洞这些漏洞影响Oracle产品的所有安全属性可导致本地和远程的威胁其中一些漏洞可能需要各种级别的授权但也有些不需要任何授权最严重的漏洞可能导致完全入侵数据库系统目前已知的漏洞包括
攻击者可以绕过Oracle数据库的登录触发器(logon trigger)登录触发器用于限制用户访问因此这可能导致严重的安全问题;
DBMS_UPGRADE_INTERNAL和DBMS_AQADM_SYS软件包中存在SQL注入漏洞;
Oracle Secure Enterprise Search g的boundary_rulesjsp文件中EXPTYPE参数可能导致跨站脚本漏洞;
Oracle Discoverer Servlet中包含有database/tns别名的字段攻击者可以通过这个字段发送TNS STOP命令关闭未受到保护的Oracle TNS Listener
厂商补丁
Oracle已经为此发布了一个安全公告(cpuapr)以及相应补丁:
cpuaprOracle Critical Patch Update April
