News-Meldung vom 20.02.2004 10:26
Oracle hat drei Security Alerts mit den Nummern 63, 64 und 65 veröffentlicht, in denen mehrere Sicherheitslücken in Oracle9i Lite, Application und Database Server beschrieben sind. Zwei der Fehler kann ein Angreifer für Denial-of-Service-Angriffe ausnutzen, ein weiterer ermöglicht das Kapern von aktiven User Sessions. Zudem ist unter bestimmten Umständen der unautorisierte Zugriff auf den Database Server möglich. Eine der Lücken basiert auf der fehlerhaften Verarbeitung der Data Type Definitions (DTD) in XML-Dokumenten, wie sie für SOAP-Messages verwendet werden. Weitere Angaben zu den Fehlern macht der Hersteller nicht.
Einer der Angriffe funktioniert nach Angaben von Oracle ohne eine vorherige Authentifizierung. Bei allen anderen ist ein Benutzerkonto erforderlich. Von den Fehlern sind diverse Versionen betroffen:
Oracle empfiehlt dringend die bereitgestellten Patches zu installieren. Für registrierte Kunden sind sie über Metalink verfügbar.
Siehe dazu auch:
(dab)
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-93853
Themen-Forum Schwachstellen
Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. 
Wer veraltete Programmversionen von Firefox, Thunderbird und SeaMonkey nutzt, kann sein System leicht mit Schadcode infizieren. 
