Уязвимости в продуктах Oracle

Сегодня были опубликованы массовые уязвимости в продуктах Oracle, а именно: Oracle Application Server 10g, Oracle Collaboration Suite 10.x, Oracle Database 10g, Oracle Database 8.x, Oracle E-Business Suite 11i, Oracle Enterprise Manager 10.x, Oracle PeopleSoft Enterprise Tools 8.x, Oracle Workflow 11.x, Oracle9i Application Server, Oracle9i Collaboration Suite, Oracle9i Database, Oracle9i Developer Suite.
Имеют высокую степень опасности. Могут быть эксплуатированы для проведения SQL-инъекций. Успешная эксплуатация уязвимостей требует прав для создания PL/SQL.
Данные раскрыты по следующим уязвимостям:
1. Уязвимость существует из-за недостаточной обработки входных данных в процедурах «IMPORT_CHANGE_SET», «IMPORT_CHANGE_TABLE», «IMPORT_CHANGE_COLUMN», «IMPORT_SUBSCRIBER», «IMPORT_SUBSCRIBED_TABLE», «IMPORT_SUBSCRIBED_COLUMN», «VALIDATE_IMPORT», «VALIDATE_CHANGE_SET», «VALIDATE_CHANGE_TABLE» и «VALIDATE_SUBSCRIPTION» из пакета «sys.dbms_cdc_impdp». Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.
2. Уязвимость существует из-за недостаточной обработки входных данных в процедуре «MAIN» в пакете «sys.kupw$worker». Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.
3. Уязвимость существует из-за недостаточной обработки входных данных в пакете «sys.dbms_stats». Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.
4. Уязвимость существует из-за недостаточной обработки входных данных в пакете «sys.dbms_upgrade». Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных. Для удачной эксплуатации уязвимости требуются привилегии на создание PL/SQL функций.
Оригинальный и более детальный текст относительно уязвимости можно найти здесь