Отчет по уязвимостям с 16 по 23 марта
www.samag.ru
Льготная подписка для студентов      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
О журнале
Журнал «БИТ»
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

Jobsora


  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
28.05.2019г.
Просмотров: 1944
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 1974
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 1530
Комментарии: 0
Django 2 в примерах

 Читать далее...

28.05.2019г.
Просмотров: 1118
Комментарии: 0
Введение в анализ алгоритмов

 Читать далее...

27.03.2019г.
Просмотров: 1693
Комментарии: 1
Arduino Uno и Raspberry Pi 3: от схемотехники к интернету вещей

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Отчет по уязвимостям с 16 по 23 марта

Статьи / Отчет по уязвимостям с 16 по 23 марта

Автор: Андрей Бирюков

Еженедельный отчет содержит описание семи уязвимостей.

Samag.ru

Отчет по уязвимостям с 16 по 23 марта

Еженедельный отчет содержит описание семи уязвимостей.

 

Множественные уязвимости в продуктах Oracle

 

Oracle Identity Manager

Из-за неизвестной ошибки в компоненте User Config Management локальный пользователь может читать, обновлять, вставлять и удалять данные доступные в Identity Manager..

 

Ссылка на сайт разработчика:  http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html#AppendixFMW

Версии:  Oracle Identity Manager 11g 

Опасность: высокая, возможна удаленная эксплуатация уязвимости

Операционные системы: 

ID в базе CVE: CVE-2012-0532 

Решение: Установить необходимые обновления.

 

Oracle E-Business Suite

Несколько уязвимостей обнаружены в системе Oracle E-Business Suite. Из-за неизвестной ошибки в HTML страницах подкомпонента Oracle Application Object Library, удаленный пользователь может раскрыть и редактировать определенные данные библиотеки. Также из-за неизвестной ошибки в подкомпоненте Change Password Page, удаленный пользователь может раскрыть определенные данные библиотеки. Из-за неизвестной ошибки в подкомпоненте REST Services удаленный пользователь может редактировать определенные данные библиотеки. Также из-за неизвестной ошибки в подкомпоненте Runtime Catalog в компоненте Oracle iStore. Удаленный пользователь может редактировать определенные данные iStore.

 

Ссылка на сайт разработчика:     http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html#AppendixEBS

Версии: Oracle E-Business Suite 12.x

Опасность: критическая, возможна удаленная эксплуатация уязвимости

Операционные системы: 

ID в базе CVE: CVE-2012-0513, CVE-2012-0535, CVE-2012-0537, CVE-2012-0542.

Решение: Установить обновления с сайта производителя

 

Oracle Enterprise Manager

В системе управления Oracle Enterprise Manager обнаружены множественные уязвимости.

Обнаруженные уязвимости позволяют удаленному пользователю скомпрометировать целевую систему. Уязвимость существует из-за неизвестной ошибки в подкомпоненте Security Framework в компоненте Enterprise Manager Base Platform. Удаленный пользователь может раскрыть и осуществить неавторизованное изменение определенных Base Platform данных. Уязвимость существует из-за неизвестной ошибки в подкомпоненте Security Framework в компоненте Enterprise Manager Base Platform. Удаленный пользователь может раскрыть и осуществить неавторизованное изменение определенных Base Platform данных. Уязвимость существует из-за неизвестной ошибки в подкомпоненте Security Framework в компоненте Enterprise Manager Base Platform. Удаленный пользователь может раскрыть и осуществить неавторизованное изменение определенных Base Platform данных. Уязвимость существует из-за неизвестной ошибки в подкомпоненте Schema Management в компоненте Enterprise Manager Base Platform. Удаленный пользователь может раскрыть и осуществить неавторизованное изменение определенных Base Platform данных. Уязвимость существует из-за неизвестной ошибки в подкомпоненте Schema Management в компоненте Enterprise Manager Base Platform. Удаленный пользователь может раскрыть и осуществить неавторизованное изменение определенных Base Platform данных. Уязвимость существует из-за неизвестной ошибки в подкомпоненте Security Framework в компоненте Enterprise Manager Base Platform. Удаленный пользователь может раскрыть и осуществить неавторизованное изменение определенных Base Platform данных

 

Ссылка на сайт разработчика:    

 http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html

 

Версии: Oracle Enterprise Manager 10.x, Oracle Enterprise Manager 11.x

 

Опасность: критическая, возможна удаленная эксплуатация уязвимостей

Операционные системы:  

ID в базе CVE:  CVE-2012-0512 CVE-2012-0520 CVE-2012-0525 CVE-2012-0526 CVE-2012-0527 CVE-2012-0528

Решение: Установить соответствующее обновление с сайта производителя

 

Oracle Database

 

В самой СУБД Oracle также был обнаружен ряд уязвимостей, которые позволяют удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за ошибки в компоненте Oracle Spatial. Удаленный пользователь может выполнить произвольный код на целевой системе.

Уязвимость существует из-за ошибки в компоненте Core RDBMS. Удаленный поьзователь может выполнить произвольный код на целевой системе.

Уязвимость существует из-за ошибки в компоненте Core RDBMS. Удаленный пользователь может осуществить неавторизованное изменение доступных Core RDBMS данных и вызвать отказ в обслуживании.

Уязвимость существует из-за ошибки в компоненте OCI. Удаленный пользователь может раскрыть и осуществить неавторизованное изменение определенных данных.

Уязвимость существует из-за множественных ошибок в Enterprise Manager Grid Control. Подробно с уязвимостями в Enterprise Manager Grid Control можно ознакомиться по адресу: http://www.securitylab.ru/vulnerability/423348.php

Уязвимость существует из-за ошибки в компоненте Application Express. Удаленный пользователь может раскрыть и осуществить неавторизованное изменение данных.

Уязвимость существует из-за ошибки в компоненте RDBMS Core. Удаленный пользователь может раскрыть и осуществить неавторизованное изменение определенных данных.

 

Ссылки на сайт разработчика:  http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html

Версии: Oracle Database 11g Release 2 версия 11.2.0.2, Oracle Database 11g Release 2 версия 11.2.0.3, Oracle Database 11g Release 1 версия 11.1.0.7, Oracle Database 10g Release 2 версия 10.2.0.3,
Oracle Database 10g Release 2 версия 10.2.0.4, Oracle Database 10g Release 2 версия 10.2.0.5

Опасность: критическая, возможна удаленная эксплуатация уязвимости

Операционные системы:  

ID в базе CVE:  CVE-2012-0510, CVE-2012-0511, CVE-2012-0512, CVE-2012-0519, CVE-2012-0520, CVE-2012-0525, CVE-2012-0526, CVE-2012-0527, CVE-2012-0528, CVE-2012-0534, CVE-2012-0552,
CVE-2012-1708

Решение: Установить соответствующее обновление с сайта производителя

 

Oracle MySQL Server

Обнаруженные в сервере СУБД Oracle MySQL уязвимости позволяют удаленному пользователю осуществить DoS-атаку.

Из-за неизвестной ошибки в компоненте Server Optimizer, удаленный пользователь может вызвать аварийное прекращение работы. Из-за неизвестной ошибки в компоненте MyISAM удаленный пользователь может вызвать аварийное прекращение работы. Из-за неизвестной ошибки в компоненте Partition, удаленный пользователь может вызвать аварийное прекращение работы. Из-за неизвестной ошибки в компоненте Server DML удаленный пользователь может вызвать аварийное прекращение работы. Из-за неизвестной ошибки в компоненте Server Optimizer удаленный пользователь может вызвать аварийное прекращение работы. Также из-за неизвестной ошибки в компоненте Server Optimizer удаленный пользователь может вызвать аварийное прекращение работы.

 

Ссылки на сайт разработчика:    http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html

Версии:  MySQL 5.x

Опасность: критическая, возможен отказ в обслуживании

Операционные системы: 

ID в базе CVE:  CVE-2012-0583, CVE-2012-1688, CVE-2012-1690, CVE-2012-1696, CVE-2012-1697, CVE-2012-1703

Решение: Установить соответствующее обновление с сайта производителя

 

Oracle Solaris

Обнаруженные в операционной системе Solaris уязвимости позволяют удаленному пользователю обойти ограничения безопасности на системе.

1. Уязвимость существует из-за ошибки в компонентах bsmconv и bsmunconv. Локальный пользователь может повысить привилегии на системе.

2. Уязвимость существует из-за ошибки в компоненте Kernel/sockfs. Локальный пользователь может вызвать аварийное прекращение работы.

3. Уязвимость существует из-за ошибки в компоненте gssd. Локальный пользователь может повысить свои привилегии.

4. Уязвимость существует из-за неизвестной ошибки в компоненте Password Policy. Локальный пользователь может повысить привилегии на системе.

5. Уязвимость существует из-за неизвестной ошибки в компоненте Kernel/Privileges. Удаленный пользователь может повысить свои привилегии на системе.

6. Уязвимость существует из-за ошибки в компоненте SCTP. Локальный пользователь может вызвать аварийное прекращение работы системы.

7. Уязвимость существует из-за неизвестной ошибки в компоненте libsasl. Удаленный пользователь может осуществить неавторизованное изменение данных.

8. Уязвимость существует из-за ошибки в компоненте Kernel/GLD. Удаленный пользователь может раскрыть важные данные.

 

Ссылки на сайт разработчика:   
http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html

Версии:  Oracle Solaris 11 Express
Sun Solaris 10
Sun Solaris 8
Sun Solaris 9

Опасность: критическая, возможна удаленная эксплуатация уязвимости

Операционные системы: Oracle Solaris 11 Express
Sun Solaris 10
Sun Solaris 8
Sun Solaris 9 

ID в базе CVE:  CVE-2012-0539, CVE-2012-1681, CVE-2012-1683, CVE-2012-1684, CVE-2012-1691, CVE-2012-1692, CVE-2012-1694, CVE-2012-1698

Решение: Установить соответствующее обновление с сайта производителя

 

Oracle Solaris

Из-за небезопасной обработки данных, полученных через URI gtalk://, удаленный пользователь может перенаправить запрос об авторизации на собственный сервер и раскрыть учетные данные жертвы.

Ссылки на описание уязвимости:   
http://retrogod.altervista.org/9sg_gtalk_uri.html

Версии:  Google Talk 1.x
Опасность: критическая, возможна удаленная эксплуатация уязвимости

 

ID в базе CVE:  

Решение: Способов устранения уязвимости не существует в настоящее время

 

 

Использованные источники:

1.      Securitytracker.com

2.      Securitylab.ru

 

 

 

 

 

 

Комментарии отсутствуют

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru