FrSIRT - Oracle Products Multiple Code Execution and SQL Injection Vulnerabilities / Exploit

French Security Incident Response Team

Français

English

Oracle Products Multiple Code Execution and SQL Injection Vulnerabilities

Date de Publication : 2008-01-16 © FrSIRT.COM
Titre : Oracle Products Multiple Code Execution and SQL Injection Vulnerabilities
Identifiant : FrSIRT/AVIS-2008-0150
CVE ID : CVE-2008-0339 - CVE-2008-0340 - CVE-2008-0341 - CVE-2008-0342 - CVE-2008-0343 - CVE-2008-0344 - CVE-2008-0345 - CVE-2008-0346 - CVE-2008-0347 - CVE-2008-0348 - CVE-2008-0349
Risque : Elevé (3/4) -

Exploitable à distance : Oui
Exploitable en local : Oui

En savoir plus

Description

Produits affectés

Solution

Références

Description Technique

Plusieurs vulnérabilités ont été identifiées dans différents produits Oracle, elles pourraient être exploitées par des attaquants locaux ou distants afin de causer un déni de service, exécuter des commandes arbitraires, lire ou écraser des des fichiers arbitraires, conduire des attaques par injection SQL ou par cross site scripting, ou afin de contourner les mesures de sécurité.

Ces failles résultent d'erreurs présentes aux niveaux des modules XML DB, Advanced Queuing, Spatial, Upgrade/Downgrade, Ultra Search, Core RDBMS, Jinitiator, BPEL Worklist Application, Forms, JDeveloper, Internet Directory, Mobile Application Server, Application Object Library, Applications Framework, Applications Manager, CRM Technical Foundation, Applications Technology Stack et PeopleTools.

Crédit

Vulnérabilités découvertes par CERT/CC, Esteban Martinez Fayo (Application Security, Inc.), Pete Finnigan, Joxean Koret, Alexander Kornbrust (Red Database Security), Ali Kumcu (inTellectPro), David Litchfield (NGS Software), Mariano Nunez Di Croce (CYBSEC S.A.) et Alexandr Polyakov (Digital Security).

Historique

2008-01-16 : Version Initiale

Recevez les bulletins FrSIRT

Le service FrSIRT VNS permet aux professionnels de la sécurité (RSSI, DSI, administrateurs et consultants) de recevoir en temps-réel, par email, SMS et flux RSS/XML, des bulletins de vulnérabilités complets, détaillés et personnalisés.

Recherche

Newsletter

	Cisco Network Admission Control Shared Secret Disclosure Vulnerability
	Cisco UC Disaster Recovery Framework Command Execution Vulnerability
	Cisco IOS Denial of Service and Information Disclosure Vulnerabilities
	Cisco IOS Packets Processing Remote Denial of Service Vulnerability
	Cisco User-Changeable Password Remote Buffer Overflow Vulnerabilities
	Cisco Unified IP Phones Overflow and Denial of Service
	Cisco Unified Communication Manager "key" SQL Injection Vulnerability

	IBM Lotus Quickr WYSIWYG Editors Cross Site Scripting Vulnerability
	IBM Rational Build Forge Remote Denial of Service Vulnerability
	IBM WebSphere Application Server Java Plugin Vulnerability
	IBM Lotus Expeditor "cai:" URI Handler Command Injection Vulnerability
	IBM DB2 Universal Database Local Privilege Escalation Vulnerabilities
	IBM HTTP Server Multiple Cross Site Scripting Vulnerabilities
	IBM Lotus Notes Keyview Module Remote Buffer Overflow Vulnerabilities

	Apple Safari URL Spoofing and Denial of Service
	Apple Safari Code Execution and Cross Site Scripting Vulnerabilities
	Apple QuickTime Multiple File Handling Code Execution Vulnerabilities
	Apple Safari Memory Corruption and Address Bar Spoofing Vulnerabilities
	Apple Aperture and iPhoto DNG Image Buffer Overflow Vulnerability
	Apple AirPort Extreme AFP Request Denial of Service Vulnerability
	Apple Mac OS X Command Execution Vulnerabilities