Oracle Enterprise Manager Grid Control 10.2.0.1
Oracle 9i Database Server Release 2 9.2.0.8
Oracle Database Server 10g Release 1 10.1.0.5
Oracle Identity Management 10g 10.1.4.0.1
Oracle发布了2007年1月的紧急补丁更新公告,修复了多个Oracle产品中的多个漏洞。这些漏洞影响Oracle产品的所有安全属性,可导致本地和远程的威胁。其中一些漏洞可能需要各种级别的授权,但也有些不需要任何授权。最严重的漏洞可能导致完全入侵数据库系统。目前已知的漏洞包括:
1) 如果向Oracle通知服务(ONS,默认端口6200/TCP)发送了特制报文的话,就可能触发缓冲区溢出;
2) Oracle XML DB没有正确过滤某些输入便返回给用户,可能导致在用户的浏览器会话中执行任意HTML和脚本代码;
3) DBMS_AQ_INV软件包没有正确过滤某些输入便用到了SQL查询中,导致SQL注入攻击;
4) EmChartBean中的输入验证错误可能导致通过目录遍历攻击访问Web根目录以外的文件。