公開日:2008.01.21 19:58 最終更新日:2008.02.25 11:10

TRTA08-017A
Oracle 製品における複数の脆弱性に対するアップデート

概要


Oracle から各製品向けの Critical Patch Update が公開されました。

影響を受けるシステム
 - Oracle Database 10g Release 2, versions 10.2.0.2, 10.2.0.3
 - Oracle Database 10g version 10.1.0.5
 - Oracle 9i Database Release 2, versions 9.2.0.8, 9.2.0.8DV
 - Oracle Application Server 10g Release 3 (10.1.3), versions 10.1.3.0.0, 10.1.3.1.0, 10.1.3.3.0
 - Oracle Application Server 10g Release 2 (10.1.2), versions 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
 - Oracle Application Server 10g (9.0.4), version 9.0.4.3
 - Oracle Collaboration Suite 10g version 10.1.2
 - Oracle PeopleSoft Enterprise versions 8.22, 8.48, 8.49
 - Oracle E-Business Suite versions 12, versions 12.0.0 - 12.0.3
 - Oracle E-Business Suite versions 11i, versions 11.5.9 - 11.5.10 CU2

詳しくは、Oracle が提供する情報をご確認下さい。

時系列イベント


日時 (JST)内容
2008-01-28 Bugtraq Oracle 10g R1 xDb.XDB_PITRIG_PKG.PITRIG_DROP - SQL Injection Exploit (get password Hashes)
検証コードに関する報告
#Cid: 27229-XDB_PITRIG_PKG.PITRIG_DROP.sql
#Tested: oracle 10.1.0.2.0
2008-01-28 Bugtraq Oracle 10g R1 xDb.XDB_PITRIG_PKG.PITRIG_TRUNCATE - SQL Injection Exploit (get password Hashes)
検証コードに関する報告
#Cid: 27229-XDB_PITRIG_PKG.PITRIG_TRUNCATE.sql
#Tested: oracle 10.1.0.2.0
2008-01-28 Bugtraq Oracle 10g R1 xDb.XDB_PITRIG_PKG.PITRIG_DROP - SQL Injection Exploit (change system password)
検証コードに関する報告
#Cid: 27229-XDB_PITRIG_PKG.PITRIG_DROP-2.sql
#Tested: oracle 10.1.0.2.0
2008-01-28 Bugtraq Oracle 10g R1 xDb.XDB_PITRIG_PKG.PITRIG_TRUNCATE - BUFFER OVERFLOW (POC exploit , Crash database)
検証コードに関する報告
#Cid: 27229-XDB_PITRIG_PKG.PITRIG_TRUNCATE-2.sql
#Tested: oracle 10.1.0.2.0
2008-01-18 04:42 US-CERT TA08-017A: Oracle Updates for Multiple Vulnerabilities
US-CERT メーリングリスト経由で Technical Cyber Security Alert 受信
2008-01-18 日本オラクル Oracle Critical Patch Update Advisory - January 2008
2008-01-17 22:30 日本ヒューレット・パッカード HPSBMA02133: SSRT061201 rev.7 - HP Oracle for OpenView (OfO) Critical Patch Update
2008-01-17 03:18 US-CERT Oracle Releases October Critical Patch Update
US-CERT Current Activity としてセキュリティアップデートを報告
2008-01-16 06:02 SANS Internet Storm Center Oracle releases January 2008 Critical Patch Update


参考情報



  1. Technical Cyber Security Alert TA08-017A
    Oracle Updates for Multiple Vulnerabilities
  2. Vulnerability Note JVNTA08-017A
    Oracle 製品における複数の脆弱性に対するアップデート