Cảnh báo lỗi bảo mật Oracle nghiêm trọng

Các hệ thống bị ảnh hưởng:

Các sản phẩm Oracle dưới đây sẽ bị ảnh hưởng bởi lỗi bảo mật này:

• Oracle Database 10g Release 1, version 10.1.0.2
• Oracle9i Database Server Release 2, versions 9.2.0.4 and 9.2.0.5
• Oracle9i Database Server Release 1, versions 9.0.1.4, 9.0.1.5 and 9.0.4
• Oracle8i Database Server Release 3, version 8.1.7.4
• Oracle Enterprise Manager Grid Control 10g, version 10.1.0.2
• Oracle Enterprise Manager Database Control 10g, version 10.1.0.2
• Oracle Application Server 10g (9.0.4), versions 9.0.4.0 and 9.0.4.1
• Oracle9i Application Server Release 2, versions 9.0.2.3 and 9.0.3.1

• Oracle9i Application Server Release 1, version 1.0.2.2

Ngoài ra các sản phẩm của Oracle khác là Collaboration Suite and E-Business Suite 11i cũng bị ảnh hưởng.

Theo ghi nhận của hãng Oracle, có một số sản phẩm sau không bị ảnh hưởng bởi lỗi bảo mật này là:

• Oracle Database 10g Release 1, version 10.1.0.3
• Oracle Enterprise Manager Grid Control 10g, version 10.1.0.3 (chưa có)

• Oracle Application Server 10g (9.0.4), version 9.0.4.2 (chưa có)

Tóm tắt

Một vài lỗi nghiêm trọng có thể bị tấn công tồn tại trong các sản phẩm sau của Oracle là: Oracle Database Server, Application Server, và Enterprise Manager software. Hầu hết các lỗi nghiêm trọng này có thể cho phép kẻ tấn công điều khiển nhằm thực thi bất kỳ các đoạn mã nguy hiểm trên hệ thống bị ảnh hưởng. Ngoài ra các sản phẩm khác như Collaboration Suite and E-Business Suite 11i cũng bị ảnh hưởng bởi lỗi bảo mật này.

Mô tả:

Các lỗi bảo mật này đã được cảnh báo trong các sản phẩm của Oracle Database Server, Application Server, và Enterprise Manager software. Theo các bản báo cáo này, các lỗi dễ bị tấn công bao gồm lỗi tràn bộ đệm, lỗi SQL Injection, và một vài kiểu khác đã được tìm ra và được gửi tới Oracle.

Oracle đã ban hành các bản thông báo lỗi và cách khắc phục tại địa chỉ sau: Oracle Security Alert #68 (pdf). Chúng tôi đang tiến hành theo dõi các lỗi này là:

VU#170830 - Oracle Enterprise Manager

VU#316206 - Oracle Database Server

VU#435974 - Oracle Application Server

Tác động

Các tác động của lỗi bảo mật này được mô tả ở trên là chưa rõ ràng.

Theo các báo cáo tin cậy, ảnh hưởng của lỗi bảo mật này sẽ giúp tin tặc xâm nhậm hệ thống thực thi các quyền, các đoạn mã không cho phép nhằm sửa đổi dữ liệu hoặc đánh cắp dữ liệu.

Giải pháp

Áp dụng các bản vá lỗi và các bản nâng cấp

Các cơ quan sử dụng các sản phẩm của Oracle là Collaboration Suite or E-Business Suite 11i có thể xem các chỉ dẫn tại Oracle Security Alert #68 (pdf).

Tài liệu tham khảo:

• Oracle Security Alert #68 (pdf) - <http://www.oracle.com/technology/deploy/security/pdf/2004alert68.pdf>
• US-CERT VU#316206 - <http://www.kb.cert.org/vuls/id/316206>
• US-CERT VU#435974 - <http://www.kb.cert.org/vuls/id/435974>

• US-CERT VU#170830 - <http://www.kb.cert.org/vuls/id/170830>