Oracle 2008 年 4 月更新修复其产品多个安全漏洞

来源：绿盟科技 作者： 出处：巧巧读书 2008-04-18 进入讨论组

• 关 键 词：
• server
• update
• oracle
• sql注入
• html

受影响系统：
Oracle Application Server 9.0.4.3
Oracle Application Server 10.1.3.3.0
Oracle Application Server 10.1.3.1.0
Oracle Application Server 10.1.2.2.0
Oracle Application Server 10.1.2.1.0

Oracle Application Server 10.1.2.0.2
Oracle E-Business Suite 12.0.4
Oracle E-Business Suite 11.5.10.2
Oracle Collaboration Suite 10.1.2
Oracle Database 9.2.0.8DV
Oracle Database 9.2.0.8
Oracle Database 11.1.0.6   
Oracle Database 10.2.0.3
Oracle Database 10.2.0.2
Oracle Database 10.1.0.5
Oracle PeopleSoft Enterprise PeopleTools 8.49.09
Oracle PeopleSoft Enterprise PeopleTools 8.48.16
Oracle PeopleSoft Enterprise PeopleTools 8.22.19
Oracle PeopleSoft Enterprise HCM 9.0
Oracle PeopleSoft Enterprise HCM 8.9
Oracle PeopleSoft Enterprise HCM 8.8 SP1
Oracle Siebel SimBuilder 7.8.5
Oracle Siebel SimBuilder 7.8.2

描述：
Oracle Database是一款商业性质大型数据库系统。

Oracle发布了2008年4月的紧急补丁更新公告，修复了Oracle产品中的多个漏洞。这些漏洞影响Oracle产品的所有安全属性，可导致本地和远程的威胁。其中一些漏洞可能需要各种级别的授权，但也有些不需要任何授权。最严重的漏洞可能导致完全入侵数据库系统。目前已知的漏洞包括：

没有正确地过滤对SDO_GEOM、SDO_IDX和SDO_UTIL软件包中某些参数的输入便在SQL查询中使用，这允许远程攻击者执行SQL注入攻击。

DBMS_STATS_INTERNAL软件包将OUTLN口令重置为默认值，这允许OUTLN用户在创建具体视图期间获得DBA权限。

厂商补丁：
Oracle已经为此发布了一个安全公告（cpuapr2008）以及相应补丁:
cpuapr2008：Oracle Critical Patch Update Advisory - April 2008
链接：http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2008.html?_template=/o

更多内容请看路由安全配置专题、系统安全设置、配置安全的操作系统专题，或进入讨论组讨论。

【收藏此文】【大 中 小】【打印】【关闭】

较早的文章：CA DSM gui_cm_ctrls.ocx ActiveX含代码执行漏洞

较新的文章：Apple Safari 3.1.1 版本浏览器修复多个安全漏洞