Oracle电子商务套件-多个SQL注入漏洞

Oracle电子商务套件 11i和Oracle Applications 11.0中存在多个SQL注入漏洞。只需使用浏览器并将特制的URL发送到Web服务器,就可以远程利用这些漏洞。需要Oracle的必需补丁才能解决这些安全问题。

完整性安全警报

_____________________________________________________________________ _

 

Oracle电子商务套件-多个SQL注入漏洞

2004年6月3日

_____________________________________________________________________ _

 

概要:

 

Oracle电子商务套件 11i和Oracle Applications 11.0中存在多个SQL注入漏洞。 只需使用浏览器并将特制的URL发送到Web服务器,就可以远程利用这些漏洞。 需要Oracle的必需补丁才能解决这些安全问题。

 

产品:   Oracle电子商务套件

版本:  11.0.x,11.5.1 – 11.5.8

平台:  All platforms

风险等级: 危急

_____________________________________________________________________

 

描述:

 

整合学在几乎所有受支持的Oracle应用程序版本(11.0和11i)中发现了多个SQL注入漏洞。 由于Oracle应用产品11i会为所有产品模块安装代码,因此所有Oracle应用产品11i客户都容易受到这些SQL注入问题的攻击。

 

SQL注入漏洞使攻击者可以通过将SQL代码片段插入网页的输入字段中来执行SQL语句或数据库功能。 由于Oracle应用产品的设计,SQL注入攻击可以轻松有效地破坏整个数据库和应用程序。

 

具有面向Internet的应用程序服务器的客户最容易受到攻击,因为可以使用浏览器远程利用这些漏洞。 由于可以针对Oracle应用程序专门设计攻击,并且攻击可能仅是单个HTTP Get或Post,因此可以轻松地设计成功的攻击,以逃避大多数入侵检测和防御系统的攻击。

 

解:

 

Oracle已发布了针对Oracle Applications 11.0和Oracle电子商务套件 11i的补丁程序,以纠正这些漏洞。

 

必须应用以下Oracle补丁-

 

      Version     Patch

      -------     -----

      11i         3644626     (11.5.1 – 11.5.8)

      11.0        3648066     (all versions)

 

Oracle Metalink说明ID 274375.1中提供了修补程序可用性列表。

 

同时应用了Report Manager Mini-pack B(11i.FRM.B)或更高版本以及Marketing Suite Family Pack B(11i.MKT_PF.B)的Oracle Applications 11i客户不需要针对这些漏洞应用补丁程序-这些补丁程序级别包含在11.5.9中。

 

所有Oracle应用产品客户都应将此漏洞视为极高风险,并尽早应用上述补丁。 具有面向Internet的应用程序服务器的客户应立即应用补丁。

 

在应用任何修补程序之前,应始终执行适当的测试和备份。

 

附加信息:

 

  http://www.katsenatps.com/resources.htm

http://otn.oracle.com/deploy/security/pdf/2004alert67.pdf

Metalink注释ID 274356.1(Oracle安全警报)

Metalink说明ID 274375.1(修补程序可用性列表)

 

有关此安全警报的更多信息或问题,请通过以下方式与我们联系 [email protected].

 

整合学在针对Oracle应用程序的漏洞扫描器AppSentry和针对Oracle应用程序的应用程序入侵防御系统AppDefend中包括了对这些漏洞的检查。

 

信用:

 

此漏洞由Integrigy Corporation的Stephen Kost发现。

_____________________________________________________________________ _

 

关于Integrigy公司 (www.integrigy.com)

 

整合学 Corporation是大型企业,关键任务应用程序的应用程序安全性的领导者。我们的应用程序漏洞评估工具AppSentry可帮助公司保护最大,最重要的应用程序。 整合咨询为领先的ERP和CRM应用程序提供安全评估服务。

 

有关更多信息,请访问 www.integrigy.com.

 

分享这个帖子