Oracle E-Business Suite - 多个SQL注入漏洞

Oracle E-Business Suite 11i和Oracle应用程序11.0中存在多个SQL注入漏洞。这些漏洞可以简单地使用浏览器来远程利用,并将特制URL发送到Web服务器。来自Oracle的强制修补程序是解决这些安全问题的必要条件。

积分安全警报

_____________________________________________________________________ _

 

Oracle E-Business Suite - 多个SQL注入漏洞

2004年6月3日

_____________________________________________________________________ _

 

概括:

 

Oracle E-Business Suite 11i和Oracle应用程序11.0中存在多个SQL注入漏洞。 这些漏洞可以简单地使用浏览器来远程利用,并将特制URL发送到Web服务器。 来自Oracle的强制修补程序是解决这些安全问题的必要条件。

 

产品:   Oracle E-Business Suite

版本:  11.0.x,11.5.1 - 11.5.8

平台:  All platforms

风险等级: Critical

_____________________________________________________________________

 

描述:

 

Integigy在几乎所有支持的Oracle应用程序(11.0和11i)中发现了多个SQL注入漏洞。 由于Oracle应用程序11i为所有产品模块安装代码,因此所有Oracle应用程序11i客户都容易受到这些SQL注入问题的群体。

 

SQL注入漏洞允许攻击者通过将SQL代码片段插入网页的输入字段来执行SQL语句或数据库函数。 由于Oracle应用程序的设计,SQL注入攻击可以很容易且有效地损害整个数据库和应用程序。

 

由于这些漏洞可以使用浏览器远程利用,因此具有互联网面向应用程序服务器的客户最脆弱。 由于攻击可以特别为Oracle应用程序制作,并且攻击可能只有一个HTTP获取或发布,因此可以轻松设计成功的攻击,将避免大多数入侵检测和预防系统。

 

解决方案:

 

Oracle已发布Oracle Applications 11.0和Oracle E-Business Suite 11i的修补程序,以纠正这些漏洞。

 

必须应用以下Oracle修补程序 -

 

      Version     Patch

      -------     -----

      11i         3644626     (11.5.1 – 11.5.8)

      11.0        3648066     (all versions)

 

修补程序可用性矩阵在Oracle Metalink Note ID 274375.1中可用。

 

Oracle应用程序11i已应用报表管理器Mini-Pack B(11i.frm.b)或更大和营销套件家庭包B(11i.mkt_pf.b)的客户无需为这些漏洞应用补丁 - 这些补丁水平包括在11.5.9中。

 

所有Oracle应用程序客户都应考虑此漏洞极高的风险,并在最早的机会中应用上述补丁。 面向Internet的客户应立即使用修补程序。

 

在应用任何修补程序之前,应始终执行适当的测试和备份。

 

附加信息:

 

  http://www.katsenatps.com/resources.htm

http://otn.oracle.com/deploy/security/pdf/2004alert67.pdf

Metalink Note ID 274356.1(Oracle安全警报)

Metalink Note ID 274375.1(补丁可用性矩阵)

 

有关此安全警报的更多信息或问题,请联系我们 警报器@integrigy.com..

 

Integigy已包含在Appsentry中的这些漏洞,漏洞扫描程序,以及Oracle应用程序的漏洞扫描程序,AppDefend,Oracle应用程序的应用程序入侵防御系统。

 

信用:

 

斯蒂芬·科斯特公司斯蒂芬·克朗特发现了这种漏洞。

_____________________________________________________________________ _

 

关于积分公司 (www.integrigy.com.)

 

Integigy Corporation是大型企业,关键任务应用程序的应用安全的领导者。我们的应用程序漏洞评估工具Appsentry协助公司确保其最大和最重要的应用程序。 Integy Consulting为领先的ERP和CRM应用提供安全评估服务。

 

有关更多信息,请访问 www.integrigy.com..

 

分享这个帖子