亚美 Tricon Patch更新Eutil 2007新漏洞信息

作为亚美 E-Business Suite 11i安全漏洞已发布新信息,该漏洞固定为2007年4月的关键补丁更新。 该脆弱性是由Joxean Koret发现的,TippingPoint零日计划发布了咨询。 对于您不熟悉零日计划的人,它是一个安全供应商赞助的程序,用于支付安全漏洞信息。

不幸的是,零日倡议咨询ZDI-08-088包含有关漏洞和几种不准确性的最小信息。 亚美将此漏洞固定为2007年4月的关键补丁更新,随后在ATG_PF.H RUP5及更高版本中。该漏洞是在自助式Web应用程序数据库包中的严重SQL注入错误,该错误被调用和访问Mod_PLSQL。 mod_plsql是Apache模块,也是亚美 Web框架的一部分,允许数据库包动态生成网页。漏洞的架构.package.procedure名称是apps.icxsupwf.displaycontacts和所有版本115.6和之前的易受攻击。 在为此漏洞创建入侵检测/预防规则时,URL将仅包含包/过程名称ICXSUPWF.DisplayContacts,Mod_plSQL URL不区分大小写。此URL通常由亚美 E-Business Suite 11i URL防火墙阻止,不应从外部访问。

漏洞"anthropologists"可能对自1999年9月以来并可能发生这种脆弱性而感兴趣的事实 几年来推出了亚美 Applications 11.0的释放。 

原始亚美咨询:
亚美 Tricon Patch Update 2007年4月– APPS01

CVE名称:
CVE-2007-2126

受影响的产品和版本:
亚美 E-Business Suite 11.5.1至11.5.10.2

受影响亚美 E-Business Suite模块:
应用对象库(FND)/自助式Web应用程序(ICX)

补丁:
11.5.1 - 11.5.6.–不支持的亚美 E-Business Suite版本没有补丁
11.5.7–11.5.10.2与ATG_PF.H RUP4或之前的– 5893391
11.5.9–11.5.10.2与ATG_PF.H RUP5或更高–在RUP5和更高版本中包含此修复所需的补丁

参考:
积分亚美 Tricon Patch Update Uplil 2007 E-Business Suite Impact
零日倡议ZDI ZDI-08-088
亚美 Tricon Patch Update 2007年4月Advisory

 Share this post