В частности, к таким продуктам относятся PeopleSoft Enterprise Portal 8.x и JD Edwards EnterpriseOne 8.x. Ошибки позволяют удаленным пользователям получить доступ к важным данным, перезаписывать файлы или же делать SQL-инъекции. В частности, опасность представляет пакет Oracle PL/SQL, в котором при помощи различных параметров встроенных функций можно исполнять любые SQL-команды в базе данных. Аналогичные проблемы возникают с пакетом SYS.KUPV$FT. Ошибки связаны с недостаточной обработкой входных данных, передаваемых в уязвимые процедуры. К тому же есть архитектурная ошибка модуля Oracle TDE wallet, позволяющая сохранить пароль и главный ключ в незашифрованном виде, что позволяет пользователю получить к ним доступ. Ошибка в компоненте Reports сервера приложений Oracle позволяет использовать его для модификации файлов операционной системы, что также можно использовать для нападения. Еще одна возможность для SQL-инъекции возникает благодаря наличию атрибута AUTH_ALTER_SESSION в аутентификационного сообщения TNS. Для всех описанных ошибок производитель выпустил исправления, которые рекомендуется установить.

Поделитесь материалом с коллегами и друзьями