Update produtos Oracle

Categoria: Alertas

quinta, 20 abril 2006 15:29

Sistemas Operativos Implicados:	Indefinido
Aplicações Implicadas:	Oracle

Foram reportadas múltiplas vulnerabilidades em vários produtos Oracle no boletim de Abril de 2006.

I. Sumário

Foram reportadas múltiplas vulnerabilidades em vários produtos Oracle. O impacto causado por algumas delas ainda é desconhecido, outras podem ser exploradas por atacantes remotos ou locais de modo a causarem DOS, execução de comandos arbitrários, ataques SQL injection ou contornar restrições de segurança.

II. Descrição

No total são mais de 30 vulnerabilidades reportadas no boletim Oracle de Abril 2006, dizem respeito a falhas no Oracle Application Server, Oracle Database, Oracle Collaboration Suite, Oracle Enterprise Manager, e produtos PeopleSoft Enterprise Portal.
É destacado um erro na validação de entrada do componente Log Miner (pacote “dbms_logmnr_session”) pode ser explorado para manipular queries SQL por injecção de código SQL arbitrário.

III. Sistemas Afectados

• Oracle Database 10g
• Oracle9i Database
• Oracle8i Database
• Oracle Enterprise Manager 10g Grid Control
• Oracle Application Server 10g
• Oracle Collaboration Suite 10g
• Oracle9i Collaboration Suite
• Oracle E-Business Suite Release 11i
• Oracle E-Business Suite Release 11.0
• Oracle Pharmaceutical Applications
• JD Edwards EnterpriseOne, OneWorld Tools
• Oracle PeopleSoft Enterprise Tools
• Oracle Workflow
• Oracle Developer Suite 6i

Para obter informações detalhadas, consultar o link Oracle Critical Patch Update - April 2006.


VI. Solução

Aplicar patches ou updates especificados em:

http://www.oracle.com/technology/deploy/security/pdf/cpuapr2006.html

V. Referências

US-CERT:

http://www.us-cert.gov/cas/techalerts/TA06-109A.html