Компания Oracle опубликовала обновления для своих продуктов, в которых было обнаружено 82 дефекта систем защиты. Причем уязвимыми оказались не только продукты Oracle, но и других разработчиков, которые базировались на них.
В частности, к таким продуктам относятся PeopleSoft Enterprise Portal 8.x и JD Edwards EnterpriseOne 8.x. Ошибки позволяют удаленным пользователям получить доступ к важным данным, перезаписывать файлы или же делать SQL-инъекции. В частности, опасность представляет пакет Oracle PL/SQL, в котором при помощи различных параметров встроенных функций можно исполнять любые SQL-команды в базе данных. Аналогичные проблемы возникают с пакетом SYS.KUPV$FT. Ошибки связаны с недостаточной обработкой входных данных, передаваемых в уязвимые процедуры. К тому же есть архитектурная ошибка модуля Oracle TDE wallet, позволяющая сохранить пароль и главный ключ в незашифрованном виде, что позволяет пользователю получить к ним доступ. Ошибка в компоненте Reports сервера приложений Oracle позволяет использовать его для модификации файлов операционной системы, что также можно использовать для нападения. Еще одна возможность для SQL-инъекции возникает благодаря наличию атрибута AUTH_ALTER_SESSION в аутентификационного сообщения TNS. Для всех описанных ошибок производитель выпустил исправления, которые рекомендуется установить.