1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2007-006 Múltiples vulnerabilidades en productos de Oracle

Han sido reportadas múltiples vulnerabilidades en productos de Oracle las cuales pueden ser explotadas para poder comprometer un equipo vulnerable.

  • Fecha de Liberación: 17-Ene-2007
  • Ultima Revisión: 23-Feb-2007
  • Fuente: Oracle Critical Patch Update - January 2007
  • CVE ID: CVE-2001-0729 CVE-2006-2940 CVE-2006-3738 CVE-2006-4339 CVE-2006-4343 CVE-2007-0222
  • Riesgo Alto
  • Problema de Vulnerabilidad Local y remoto
  • Tipo de Vulnerabilidad Múltiples vulnerabilidades

Sistemas Afectados

Application Server == 10g
Database == 10g
Developer Suite == 10g
E-Business Suite == 11i
Enterprise Manager == 10x
PeopleSoft Enterprise Tools == 8x
  1. Descripción

    Han sido reportadas múltiples vulnerabilidades en productos de Oracle las cuales pueden ser explotadas para poder comprometer un equipo vulnerable.

    Múltiples vulnerabilidades han sido reportadas en varios productos de Oracle. Algunas de esas vulnerabilidades no se ha conocido su impacto real, mientras otras pueden ser explotadas para poder acceder a información sensible, causar un ataque de negación de Servicio (DoS), provocar ataques de Cross-Site scripting y SQL injection, para así potencialmente comprometer un sistema vulnerable.

    Los detalles están disponibles para las siguientes vulnerabilidades:

    1. una error de limites en el ONS (Oracle notification Service) puede ser explotado para causar un buffer overflow via paquetes específicamente creados enviados a ese servicio (puerto por default el 6200/TCP).
    2. Cierta entrada procesada por el Oracle XML DB no esta debidamente revisada antes de ser regresada al usuario. Esto puede ser explotado para ejecutar html arbitrarios y código script en la sesión del navegador del usuario en el contexto de un sitio afectado.
    3. Cierta entrada procesada por el paquete DBMS_AQ_INV no esta debidamente revisada antes de ser usada dentro de las búsquedas SQL. Esto puede ser explotado para manipular búsquedas SQL para inyectar código arbitrario SQL.
    4. Un error en la validación de una entrada en EmChartBean puede ser explotado para acceder a archivos fuera del web vía un ataque de directory traversal.
  2. Impacto

    Los usuarios que no cuenten con estas actualizaciones son vulnerables a múltiples ataques que pueden comprometer la seguridad de un equipo.

  3. Solución

    Aplicar los parches correspondientes mediante la pagina del proveedor.

  4. Referencias

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Jesús Mauricio Andrade Guzmán (mandrade at seguridad dot unam dot mx)
  • J. Roberto Sánchez Soledad (roberto dot sanchez at cert dot unam dot mx)
  • Ruben Aquino Luna (raquino at seguridad dot unam dot mx)
  • Ricardo Carrillo Sanchez (rcarrillo at correo dot seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT