Oracle 4月更新修复多个安全漏洞

欢迎进入Oracle社区论坛，与200万技术人员互动交流 >>进入 受影响系统： Oracle E-Business Suite 11i 11.5.7 - 11.5.10 CU2 Oracle Enterprise Manager 9.2.0.8 Oracle Enterprise Manager 9.2.0.7 Oracle Enterprise Manager 9.0.1.5 Oracle Database 10g

欢迎进入oracle社区论坛，与200万技术人员互动交流 >>进入

　　受影响系统：

• 　　Oracle E-Business Suite 11i 11.5.7 - 11.5.10 CU2
• 　　Oracle Enterprise Manager 9.2.0.8
• 　　Oracle Enterprise Manager 9.2.0.7
• 　　Oracle Enterprise Manager 9.0.1.5
• 　　Oracle Database 10g Release 1 10.1.0.5
• 　　Oracle Database 10g Release 1 10.1.0.4
• 　　Oracle Oracle9i Database Server Release 2 9.2.0.8
• 　　Oracle Oracle9i Database Server Release 2 9.2.0.7
• 　　Oracle Application Server 10g (9.0.4) 9.0.4.3
• 　　Oracle Application Server 10g (9.0.4) 9.0.4.3
• 　　Oracle Application Server 10g Release 2 10.1.2.2.0
• 　　Oracle Application Server 10g Release 2 10.1.2.1.0
• 　　Oracle Application Server 10g Release 2 10.1.2.0.0 - 10.1.2.0.2
• 　　Oracle Database 10g Release 2 10.2.0.3
• 　　Oracle Database 10g Release 2 10.2.0.2
• 　　Oracle JD Edwards EnterpriseOne Tools 8.96
• 　　Oracle JD Edwards OneWorld Tools SP23
• 　　Oracle PeopleSoft Enterprise PeopleTools 8.48
• 　　Oracle PeopleSoft Enterprise PeopleTools 8.47
• 　　Oracle PeopleSoft Enterprise PeopleTools 8.22
• 　　Oracle Secure Enterprise Search 10g Release 1 10.1.6
• 　　Oracle Oracle10g Collaboration Suite Release 1 10.1.2
• 　　Oracle Oracle E-Business Suite Release 12 12.0.0
• 　　Oracle PeopleSoft Enterprise Human Capital Management 8.9

　　描述：

　　Oracle Database是一款商业性质大型数据库系统。

　　Oracle发布了2007年4月的紧急补丁更新公告，修复了多个Oracle产品中的多个漏洞。这些漏洞影响Oracle产品的所有安全属性，可导致本地和远程的威胁。其中一些漏洞可能需要各种级别的授权，但也有些不需要任何授权。最严重的漏洞可能导致完全入侵数据库系统。目前已知的漏洞包括：

卓敏淘宝客站群系统

卓敏淘宝客站群系统是卓敏工作室针对淘宝客开发的专业站群系统，经过三个月来的运作，目前已经超过两万个站点使用，未出现过任何漏洞，安全可靠。 卓敏淘宝客站群系统以快速建站、便捷管理、高效收益为特色，只需几分钟，即可完成您的一个淘宝客站点，免更新、免维护是卓敏淘宝客站群系统的又一大亮点，所有产品数据都根据用户后台设置的行业分类及关键词提出佣金最高、销售最多的产品，您不需要在淘宝开放平台上烦琐的申请AP

0

查看详情

• 　　1 攻击者可以绕过Oracle数据库的登录触发器(logon trigger)。登录触发器用于限制用户访问，因此这可能导致严重的安全问题;
• 　　2 DBMS_UPGRADE_INTERNAL和DBMS_AQADM_SYS软件包中存在SQL注入漏洞;
• 　　3 Oracle Secure Enterprise Search 10g的boundary_rules.jsp文件中EXPTYPE参数可能导致跨站脚本漏洞;
• 　　4 Oracle Discoverer Servlet中包含有database/tns别名的字段，攻击者可以通过这个字段发送TNS STOP命令关闭未受到保护的Oracle TNS Listener。

　　厂商补丁：

　　Oracle已经为此发布了一个安全公告(cpuapr2007)以及相应补丁:

　　cpuapr2007：Oracle Critical Patch Update - April 2007