Download| Várias Vulnerabilidades em Produtos Oracle |
 |
 |
| Quinta, 28 Abril 2005 10:55 |
|
Sistemas Afectados * Oracle Database 10g Release 1, versões 10.1.0.2, 10.1.0.3, 10.1.0.3.1, 10.1.0.4 (10.1.0.3.1 é suportado apenas para Oracle Application Server) * Oracle9i Database Server Release 2, versões 9.2.0.5, 9.2.0.6 * Oracle9i Database Server Release 1, versões 9.0.1.4, 9.0.1.5, 9.0.4 (9.0.1.5 FIPS) (todas suportadas apenas para Oracle Application Server) * Oracle8i Database Server Release 3, versões 8.1.7.4 * Oracle Application Server 10g Release 2 (10.1.2) * Oracle Application Server 10g (9.0.4), versões 9.0.4.0, 9.0.4.1 * Oracle9i Application Server Release 2, versões 9.0.2.3, 9.0.3.1 * Oracle9i Application Server Release 1, versões 1.0.2.2 * Oracle Collaboration Suite Release 2, versões 9.0.4.1, 9.0.4.2 * Oracle E-Business Suite and Applications Release 11i, versões 11.5.0 a 11.5.10 * Oracle E-Business Suite and Applications Release 11.0 * Oracle Enterprise Manager Grid Control 10g, versões 10.1.0.2, 10.1.0.3 * Oracle Enterprise Manager versões 9.0.4.0, 9.0.4.1 * PeopleSoft EnterpriseOne Applications, versões 8.9 SP2 e 8.93 * PeopleSoft OneWorldXe/ERP8 Applications, versões SP22 e superiores. Sumário Vários produtos e componentes Oracle estão afectados por várias vulnerabilidades. O impacto destas vulnerabilidades inclui execução de código remotamente e sem autenticação, fuga de informação e negação de serviço. I. Descrição A Oracle lançou um Critical Patch Update em Abril que trata mais de setenta vulnerabilidades em diversos produtos e componentes Oracle. O Critical Patch Update fornece informação sobre quais os componentes afectados, qual o acesso e autorização necessários e como a confidencialidade, integridade e disponibilidade de dados podem ser comprometidas É altamente recomendável que quem tiver produtos Oracle em produção leia o Critical Patch Update, aplique os patches e tome medidas de migração conforme apropriado. O Servidor HTTP Oracle é baseado no Servidor HTTP Apache. De acordo com a Oracle, o Critical Patch Update trata de um conjunto de vulnerabilidades no Apache previamente divulgadas. Instalações de apenas Cliente de Base de Dados não são afectadas. II. Impacto O Impacto destas vulnerabilidades pode variar dependendo do produto, do componente e da configuração. Potenciais consequências incluem execução remota de código ou comandos arbitrários, revelação de informação e negação de serviço. Um atacante que comprometa uma base de dados Oracle pode obter livre acesso a informação sensível. III. Solução Aplicar um patch. Devem ser aplicados patches ou upgrades apropriados tal como especificado no Critical Patch Update de Abril de 2005 da Oracle. As notas de update fazem notar que alguns patches são cumulativos e outros não: - Os patches para Oracle Database Server, Enterprise Manager, e Oracle Application Server deste Critical Patch Update são cumulativos e contêem todos os fixes do Critical Patch Update anterior. - Patches para Oracle E-Business Suite não são cumulativos, logo os seus clientes devem reportar-se a Critical Patch Updates anteriores para identificar fixes prévios que possam querer aplicar. - Patches para Oracle Collaboration Suite não são cumulativos, logo os seus clientes devem reportar-se a Critical Patch Updates anteriores para identificar fixes prévios que possam querer aplicar. Workarounds Poderá ser possível mitigar algumas vulnerabilidades desactivando ou removendo componentes desnecessários e restrigindo acessos de rede. Revogar privilégios de PUBLIC EXECUTE de "stored procedures" vulneráveis pode reduzir o impacto de vulnerabilidades de "SQL injection". Apêndice A. Informação do Fabricante Oracle Consultar Oracle Critical Patch Update - Abril de 2005, Critical Patch Updates e Security Alerts Apêndice B. Referências * Fonte original do Alerta (US-CERT) - http://www.us-cert.gov/cas/techalerts/TA05-117A.html * Critical Patch Update - April 2005 - http://www.oracle.com/technology/deploy/security/pdf/cpuapr2005.pdf * Critical Patch Updates and Security Alerts - http://www.oracle.com/technology/deploy/security/alerts.htm * Map of Public Vulnerability to Advisory/Alert - http://www.oracle.com/technology/deploy/security/pdf/public_vuln_to_advisory_mapping.html * Comments on Oracle Critical Patch Update April 2005 - http://www.red-database-security.com/wp/comments_oracle_cpu_april_2005_us.pdf * NGSSoftware Oracle Database vulnerabilities - http://www.ngssoftware.com/advisories/oracle-03.txt * US-CERT Vulnerability Note VU#948486 - http://www.kb.cert.org/vuls/id/948486 * US-CERT Vulnerability Note VU#982109 - http://www.kb.cert.org/vuls/id/982109 |
Missão
O CERT.PT tem como missão contribuir para o esforço de cibersegurança nacional nomeadamente no tratamento e coordenação da resposta a incidentes, na produção de alertas e recomendações de segurança e na promoção de uma cultura de segurança em Portugal.
Contactos
Av. do Brasil 101
1700-066 Lisboa
Portugal
Tel: +351 218440177 (9h30-12h30, 14h00-17h30; GMT)
Fax: +351 218472167
email:
pgp: 342A 17BA DF71 E193 6871 0357 8BDE A247 C523 AAE7
Filiação internacional
Canais
Feeds RSS
   |
Financiado por: |
  |
Copyright © 2010, Fundação para a Computação Cientifica Nacional.
Todos os direitos reservados