Oracle Datenbankprodukte mit Sicherheitslücken
Oracle hat drei Security Alerts mit den Nummer 63, 64 und 65 veröffentlicht, in denen mehrere Sicherheitslücken in Oracle9i Lite, Application und Database Server beschrieben sind.
Oracle hat drei Security Alerts mit den Nummern 63, 64 und 65 veröffentlicht, in denen mehrere Sicherheitslücken in Oracle9i Lite, Application und Database Server beschrieben sind. Zwei der Fehler kann ein Angreifer für Denial-of-Service-Angriffe ausnutzen, ein weiterer ermöglicht das Kapern von aktiven User Sessions. Zudem ist unter bestimmten Umständen der unautorisierte Zugriff auf den Database Server möglich. Eine der Lücken basiert auf der fehlerhaften Verarbeitung der Data Type Definitions (DTD) in XML-Dokumenten, wie sie für SOAP-Messages verwendet werden. Weitere Angaben zu den Fehlern macht der Hersteller nicht.
Einer der Angriffe funktioniert nach Angaben von Oracle ohne eine vorherige Authentifizierung. Bei allen anderen ist ein Benutzerkonto erforderlich. Von den Fehlern sind diverse Versionen betroffen:
- Oracle9i Application Server Release 2, 9.0.3.0 und 9.0.3.1
- Oracle9i Application Server Release 2, 9.0.2.1 und frühere
- Oracle9i Application Server Release 1, 1.0.2.2
- Oracle9i Database Server Release 2, 9.2.0.2 bis 9.2.0.4
- Oracle9i Database Server Release 1, 9.0.1.4
- Oracle9i Lite 5.0.0.0.0 bis 5.0.2.9.0
Oracle empfiehlt dringend die bereitgestellten Patches zu installieren. Für registrierte Kunden sind sie über Metalink verfügbar.
Siehe dazu auch: (dab)
- Security Alert #63 von Oracle
- Security Alert #64 von Oracle
- Security Alert #65 von Oracle
