Oracle 4月更新修复多个安全漏洞

• 关 键 词：
• oracle10g
• oracle数据库
• server
• update
• sql注入

　　受影响系统：

• 　　Oracle E-Business Suite 11i 11.5.7 - 11.5.10 CU2
• 　　Oracle Enterprise Manager 9.2.0.8
• 　　Oracle Enterprise Manager 9.2.0.7
• 　　Oracle Enterprise Manager 9.0.1.5
• 　　Oracle Database 10g Release 1 10.1.0.5
• 　　Oracle Database 10g Release 1 10.1.0.4
• 　　Oracle Oracle9i Database Server Release 2 9.2.0.8
• 　　Oracle Oracle9i Database Server Release 2 9.2.0.7
• 　　Oracle Application Server 10g (9.0.4) 9.0.4.3
• 　　Oracle Application Server 10g (9.0.4) 9.0.4.3
• 　　Oracle Application Server 10g Release 2 10.1.2.2.0
• 　　Oracle Application Server 10g Release 2 10.1.2.1.0
• 　　Oracle Application Server 10g Release 2 10.1.2.0.0 - 10.1.2.0.2
• 　　Oracle Database 10g Release 2 10.2.0.3
• 　　Oracle Database 10g Release 2 10.2.0.2
• 　　Oracle JD Edwards EnterpriseOne Tools 8.96
• 　　Oracle JD Edwards OneWorld Tools SP23
• 　　Oracle PeopleSoft Enterprise PeopleTools 8.48
• 　　Oracle PeopleSoft Enterprise PeopleTools 8.47
• 　　Oracle PeopleSoft Enterprise PeopleTools 8.22
• 　　Oracle Secure Enterprise Search 10g Release 1 10.1.6
• 　　Oracle Oracle10g Collaboration Suite Release 1 10.1.2
• 　　Oracle Oracle E-Business Suite Release 12 12.0.0
• 　　Oracle PeopleSoft Enterprise Human Capital Management 8.9

　　描述：

　　Oracle Database是一款商业性质大型数据库系统。

　　Oracle发布了2007年4月的紧急补丁更新公告，修复了多个Oracle产品中的多个漏洞。这些漏洞影响Oracle产品的所有安全属性，可导致本地和远程的威胁。其中一些漏洞可能需要各种级别的授权，但也有些不需要任何授权。最严重的漏洞可能导致完全入侵数据库系统。目前已知的漏洞包括：

• 　　1 攻击者可以绕过Oracle数据库的登录触发器(logon trigger)。登录触发器用于限制用户访问，因此这可能导致严重的安全问题;
• 　　2 DBMS_UPGRADE_INTERNAL和DBMS_AQADM_SYS软件包中存在SQL注入漏洞;
• 　　3 Oracle Secure Enterprise Search 10g的boundary_rules.jsp文件中EXPTYPE参数可能导致跨站脚本漏洞;
• 　　4 Oracle Discoverer Servlet中包含有database/tns别名的字段，攻击者可以通过这个字段发送TNS STOP命令关闭未受到保护的Oracle TNS Listener。

　　厂商补丁：

　　Oracle已经为此发布了一个安全公告(cpuapr2007)以及相应补丁:

　　cpuapr2007：Oracle Critical Patch Update - April 2007

【深 度 阅 读】 相 关 文 章

• oracle开发中序列的使用
• ORACLE内置函数大全
• 开启企业殿堂的钥匙 Oracle服务器的安装
• C#调用ORACLE存储过程返回结果集及函数