Информационная безопасность
[RU] switch to English


Многочисленные уязвимости в Oracle
дополнено с 19 июля 2007 г.
Опубликовано:24 июля 2007 г.
Источник:
SecurityVulns ID:7942
Тип:удаленная
Уровень опасности:
7/10
Описание:Очередной квартальный пакет обновлений: переполнение буфера в DBMS_DRS.GET_PROPERTY, переполнение буфера в MDSYS.MD, межсайтовый скриптинг, повышение привилегий.
Затронутые продукты:ORACLE : Oracle 9i
 ORACLE : Oracle 8i
 ORACLE : Oracle 10g
CVE:CVE-2007-3867 (Multiple unspecified vulnerabilities in Oracle E-Business Suite 11.5.10CU2 have unknown impact and attack vectors, related to (1) APPS04, (2) APPS05, and (3) APPS06 in (a) Oracle Application Object Library, (4) APPS07 in Oracle Customer Intelligence, (5) APPS08 in Oracle Payments, (7) APPS10 in Oracle Human Resources, and (8) APPS11 in iRecruitment.)
 CVE-2007-3866 (Multiple unspecified vulnerabilities in Oracle E-Business Suite 11.5.10CU2 and 12.0.1 allow remote attackers to have an unknown impact via (a) Oracle Configurator (APPS02), (b) Oracle iExpenses (APPS03), (c) Oracle Application Object Library (APPS09), and (1) APPS12, (2) APPS13, and (3) APPS14 in (d) Oracle Payables.)
 CVE-2007-3865 (Unspecified vulnerability in the Oracle Customer Intelligence component in Oracle E-Business Suite 12.0.1 has unknown impact and remote attack vectors, aka APPS01.)
 CVE-2007-3855 (Multiple unspecified vulnerabilities in Oracle Database 9.0.1.5+, 9.2.0.8, 9.2.0.8DV, 10.1.0.5, and 10.2.0.3 allows remote authenticated users to have an unknown impact via (1) SYS.DBMS_DRS in the DataGuard component (DB03), (2) SYS.DBMS_STANDARD in the PL/SQL component (DB10), (3) MDSYS.RTREE_IDX in the Spatial component (DB16), and (4) SQL Compiler (DB17). NOTE: a reliable researcher claims that DB17 is for using Views to perform unauthorized insert, update, or delete actions.)
 CVE-2007-0272 (Unspecified vulnerability in Oracle Database 8.1.7.4, 9.0.1.5, 9.2.0.7, and 10.1.0.4 has unknown impact and attack vectors related to the Oracle Spatial component and mdsys.md privileges, aka DB05. NOTE: Oracle has not disputed a reliable researcher report that claims this is for multiple buffer overflows and other issues in unspecified public procedures.)
 CVE-2007-0270 (Unspecified vulnerability in Oracle Database 9.2.0.7 and 10.1.0.4 has unknown impact and attack vectors related to the Data Guard and sys.dbms_drs privileges, aka DB03. NOTE: Oracle has not disputed a reliable researcher claim that this is a buffer overflow in the GET_PROPERTY function in SYS.DBMS_DRS, which can be exploited for arbitrary code execution or a denial of service.)
Оригинальный текстdocumentIntegrigy Security Alerts, Oracle E-Business Suite - Multiple Vulnerabilities (24.07.2007)
 documentCERT, US-CERT Technical Cyber Security Alert TA07-200A -- Oracle Releases Patches for Multiple Vulnerabilities (21.07.2007)
 documentSHATTER, Oracle Database Buffer overflow vulnerabilities in procedure DBMS_DRS.GET_PROPERTY (DB03) (19.07.2007)
 documentSHATTER, Oracle Database Buffer overflows and Denial of service vulnerabilities in public procedures of MDSYS.MD (DB12) (19.07.2007)
 documentKornbrust, Alexander, Oracle Security: SQL Injection in APEX CHECK_DB_PASSWORD (19.07.2007)
 documentKornbrust, Alexander, Oracle Security: SQL Injection in package DBMS_PRVTAQIS (19.07.2007)
 documentKornbrust, Alexander, Oracle Security: Insert / Update / Delete Data via Views (19.07.2007)
Файлы:Oracle 9i/10g - evil view exploit (CVE-2007-3855)

DoS против службы мгновенных сообщений IPSwitch
Опубликовано:24 июля 2007 г.
Источник:
SecurityVulns ID:7968
Тип:удаленная
Уровень опасности:
5/10
Описание:Отказ при разборе сообщений TCP/5179.
Затронутые продукты:IPSWITCH : Ipswitch Instant Messaging Server 2.0
Оригинальный текстdocumentIDEFENSE, iDefense Security Advisory 07.23.07: Ipswitch Instant Messaging Server Denial of Service Vulnerability (24.07.2007)

DoS против Cisco Wireless LAN Controller
Опубликовано:24 июля 2007 г.
Источник:
SecurityVulns ID:7971
Тип:удаленная
Уровень опасности:
6/10
Описание:Возможна атака, приводящая к ARP-шторму.
Затронутые продукты:CISCO : Cisco Catalyst 6500
 CISCO : Cisco 4400
 CISCO : Cisco Catalyst 3750
 CISCO : Cisco 4100
 CISCO : Cisco Airespace 4000
Оригинальный текстdocumentCISCO, Cisco Security Advisory: Wireless ARP Storm Vulnerabilities (24.07.2007)

Отключение защиты в Антивирусе Касперского (protection bypass)
Опубликовано:24 июля 2007 г.
Источник:
SecurityVulns ID:7966
Тип:локальная
Уровень опасности:
4/10
Описание:Вредоносное приложение может отключить антивирусную защиту путем установки даты на год назад.
Затронутые продукты:KASPERSKY : Kaspersky Antivirus 6.0
 KASPERSKY : Kaspersky Internet Security 6.0
Оригинальный текстdocumentIgor U.Miturin, Kaspersky antivirus v5/6/7 vulnerability (24.07.2007)

Переполнение буфера в клоне rshd под Windows (buffer overflow)
Опубликовано:24 июля 2007 г.
Источник:
SecurityVulns ID:7970
Тип:удаленная
Уровень опасности:
5/10
Описание:Переполнение буфера при разборе запроса по порту TCP/514.
Затронутые продукты:WINDOWSRSHD : Windows rshd 1.7
Оригинальный текстdocumentJoey Mengele, [Full-disclosure] WabiSabiLabi exploit attached (24.07.2007)
Файлы:Exploit is for a stack overflow in http://rshd.sourceforge.net

Ежедневная сводка ошибок в Web-приложениях (PHP, ASP, JSP, CGI, Perl )
Опубликовано:24 июля 2007 г.
Источник:
SecurityVulns ID:7969
Тип:удаленная
Уровень опасности:
5/10
Описание:Инъекции PHP, инъекции SQL, обратный путь в каталогах, межсайтовый скриптинг, утечка информации и т.д.
Затронутые продукты:WEBBLER : webbler 3.1
Оригинальный текстdocumentProCheckUp Research, PR07-21: Webbler CMS forms are susceptible to spamming and phishing abuses (24.07.2007)
 documentProCheckUp Research, PR07-20: Webroot disclosure on Webbler CMS (24.07.2007)
 documentProCheckUp Research, PR07-19: Cross-site Scripting (XSS) / HTML injection on Webbler CMS admin login page (2) (24.07.2007)
 documentProCheckUp Research, PR07-18: Cross-site Scripting (XSS) / HTML injection on Webbler CMS admin login page (1) (24.07.2007)
 documenthadihadi_zedehal_2006_(at)_yahoo.com, printenv.pl(all versions) cross site scripting Vulnerability (24.07.2007)
 documenthadihadi_zedehal_2006_(at)_yahoo.com, dbdisplay.pl(all versions) Remote execut Vulnerability (24.07.2007)

Слабый алгоритм генерации псевдослучайных чисел в bind
дополнено с 24 июля 2007 г.
Опубликовано:28 августа 2007 г.
Источник:
SecurityVulns ID:7967
Тип:удаленная
Уровень опасности:
7/10
Описание:Слабый алгоритм генерации псевдослучайных последовательностей, используемых для идентификатора запроса DNS, облегчает атаку подмены DNS-записей (cache poisoning).
Затронутые продукты:ISC : bind 9.2
 BIND : bind 9.3
 BIND : bind 9.4
Оригинальный текстdocumentAmit Klein, BIND 8 EOL and BIND 8 DNS Cache Poisoning (Amit Klein, Trusteer) (28.08.2007)
 documentSECURITEAM, [EXPL] DNS Cache Poison (BIND 9) (07.08.2007)
 documentAmit Klein, "BIND 9 DNS Cache Poisoning" by Amit Klein (Trusteer) (24.07.2007)
Файлы:bind DNS Cache Poison v0.3beta

О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород