Oracle重要补丁更新,2007年4月New 脆弱性Information

针对Oracle E-Business Suite 11i安全漏洞的新信息已发布,已作为2007年4月的重要补丁更新的一部分进行了修复。 该漏洞是由Joxean Koret发现的,并且TippingPoint零日倡议发布了该通报。 对于那些不熟悉零日计划的人来说,这是由安全厂商赞助的计划,用于支付安全漏洞信息。

不幸的是,零日倡议(Zero Day Initiative)咨询ZDI-08-088包含有关漏洞和一些不准确性的最少信息。 Oracle在2007年4月的重要补丁更新中以及随后在ATG_PF.H RUP5和更高版本中修复了此漏洞。该漏洞是自助Web应用程序数据库程序包中的一个严重的SQL注入错误,可通过mod_plsql进行调用并访问该程序包。 Mod_plsql是Apache模块,是Oracle Web框架的一部分,该框架允许数据库包动态生成网页。易受攻击的schema.package.procedure名称为APPS.ICXSUPWF.DISPLAYCONTACTS,所有115.6版和更低版本均易受攻击。 在为此漏洞创建入侵检测/预防规则时,URL仅包含程序包/过程名称ICXSUPWF。DISPLAYCONTACTS和mod_plsql URL不区分大小写。该URL通常被Oracle E-Business Suite 11i URL防火墙阻止,并且不应从外部访问。

脆弱性"anthropologists"可能对该漏洞至少在1999年9月就已经存在并且可能 是几年前随着Oracle Applications 11.0发行版引入的。 

原始Oracle咨询:
Oracle重要补丁更新,2007年4月– APPS01

CVE名称:
CVE-2007-2126

受影响的产品和版本:
Oracle E-Business Suite 11.5.1至11.5.10.2

受影响的Oracle电子商务套件模块:
应用程序对象库(FND)/自助服务Web应用程序(ICX)

补丁:
11.5.1-11.5.6–没有补丁程序可用于不受支持的Oracle E-Business Suite版本
11.5.7–使用ATG_PF.H RUP4或更低版本的11.5.10.2– 5893391
11.5.9–具有ATG_PF.H RUP5或更高版本的11.5.10.2–不需要补丁,因为此修补程序包含在RUP5和更高版本中

参考文献:
整合学 Oracle重要补丁更新(2007年4月)对电子商务套件的影响
零日倡议ZDI ZDI-08-088
Oracle重要补丁更新,2007年4月

 Share this post