BUGTRAQ ID: 34461
CVE(CAN) ID: CVE-2009-0974,CVE-2009-0983,CVE-2009-0989,CVE-2009-0990,CVE-2009-0993,CVE-2009-0994,CVE-2009-0996,CVE-2009-1008,CVE-2009-1009,CVE-2009-1010,CVE-2009-1011,CVE-2009-1017,CVE-2009-0995,CVE-2009-0999,CVE-2009-1000,CVE-2009-1001,CVE-2009-1002,CVE-2009-1003,CVE-2009-1004,CVE-2009-1005,CVE-2009-1006,CVE-2009-1012,CVE-2009-1016,CVE-2009-0972,CVE-2009-0973,CVE-2009-0975,CVE-2009-0976,CVE-2009-0977,CVE-2009-0978,CVE-2009-0979,CVE-2009-0980,CVE-2009-0981,CVE-2009-0984,CVE-2009-0985,CVE-2009-0986,CVE-2009-0988,CVE-2009-0991,CVE-2009-0992,CVE-2009-0997,CVE-2009-0982,CVE-2009-0998,CVE-2009-1013,CVE-2009-1014,CVE-2009-0189,CVE-2009-0190
Oracle Database是一款商业性质大型数据库系统。
Oracle发布了2009年4月的紧急补丁更新公告,修复了多个Oracle产品中的多个漏洞。这些漏洞影响Oracle产品的所有安全属性,可导致本地和远程的威胁。其中一些漏洞可能需要各种级别的授权,但也有些不需要任何授权。最严重的漏洞可能导致完全入侵数据库系统。
Oracle进程管理器和通知(opmn)守护程序中存在格式串错误,远程攻击者可以通过向6000/TCP端口提交特制的POST请求导致执行任意代码。
由于没有正确地过滤对DBMS_AQIN软件包所传送的输入,远程攻击者可以通过提交恶意的查询请求执行SQL注入攻击。
Oracle数据库所捆绑的Application Express组件中的错误可能允许非特权用户泄露LOWS_030000.WWV_FLOW_USER中的APEX口令哈希。
远程攻击者可以通过向WebLogic Server插件提交恶意的HTTP请求触发堆溢出。
WebLogic Server插件在解析SSL证书时存在栈溢出漏洞。
Oracle已经为此发布了一个安全公告(cpuapr2009)以及相应补丁:
cpuapr2009:Oracle Critical Patch Update Advisory - April 2009
链接:<a href=“http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2009.html?_template=/o” target=“_blank”>http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2009.html?_template=/o</a>