| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.2 | $0-$5k | 0.00 |
Oracle ist eine vor allem im professionellen Umfeld gern eingesetzte Datenbank-Lösung. Oracle gab im Rahmen seines vierteljährlichen Critical Patch Update ein Advisory heraus, das sich 85 verschiedenen - teilweise kritischen - Sicherheitslücken annimmt. Das HTML-Dokument weist in einer Matrix die Schwachstellen aus, zeigt mitunter auch ihre Auswirkungen und Voraussetzung auf. Es ist jedoch nicht ersichtlich, welcher Kategorie (z.B. Pufferüberlauf oder Format String) die jeweiligen Fehler zugeordnet werden müssen. Technische Details oder Exploits zur Schwachstelle sind bisher nicht bekannt, könnten jedoch in den kommenden Tagen auf den einschlägigen Sicherheitsmailinglisten und -Webseiten folgen. Oracle hat entsprechend Patches für die betroffenen Produkte bereitgestellt. Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (17614) dokumentiert. Das Nachrichtenportal Heise veröffentlichte ebenfalls einen Artikel hierzu. Mit dieser Schwachstelle verwandte Einträge finden sich unter 26811, 26810, 26809 und 26808.
Für den Vulnerability Scanner Nessus wurde am 24.03.2005 ein Plugin mit der ID 17614 (Oracle Reports Server test.jsp Multiple Parameter XSS) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Databases zugeordnet und im Kontext r ausgeführt.
Wahrhaftig eine Vielzahl an Schwachstellen, die Oracle hier vier Mal im Jahr zusammenträgt. Für Administratoren entsprechender Lösungen ist dies natürlich sodann eine stressige Zeit, in der die jüngsten Patches überprüft und eingespielt werden sollen. Gut und gerne mindestens eine Woche ist man damit beschäftigt, sich auf ein solches Patching - und wir reden hier nur von einem System - vorzubereiten. Überstunden sind deshalb die Regel. Ob dieses Patchday-Prinzip, wie es auch Microsoft umzusetzen pflegt, wirklich so von Vorteil ist, muss nach wie vor bezweifelt werden.
Produkt
Typ
Hersteller
Name
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 3.5VulDB Meta Temp Score: 3.2
VulDB Base Score: 3.5
VulDB Temp Score: 3.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Teilweise
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 17614
Nessus Name: Oracle Reports Server test.jsp Multiple Parameter XSS
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: oracle.com
TippingPoint: 🔍
SourceFire IPS: 🔍
Fortigate IPS: 🔍
Timeline
24.03.2005 🔍24.03.2005 🔍
24.03.2005 🔍
26.03.2005 🔍
27.03.2005 🔍
29.03.2005 🔍
15.04.2005 🔍
02.05.2005 🔍
18.10.2005 🔍
18.10.2005 🔍
20.10.2005 🔍
04.07.2019 🔍
Quellen
Hersteller: oracle.comAdvisory: oracle.com
Person: Alexander Kornbrust
Firma: Oracle
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2005-0873 (🔍)
Vulnerability Center: 7447 - XSS in Oracle Reports Server 10g \x27test.jsp\x27, Medium
SecurityFocus: 15134 - Oracle October Security Update Multiple Vulnerabilities
Secunia: 17250 - Oracle Products 85 Unspecified Vulnerabilities, Highly Critical
OSVDB: 15050 - Oracle Reports Server test.jsp Multiple Parameter XSS
Heise: 65072
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 15.04.2005 10:35Aktualisierung: 04.07.2019 20:44
Anpassungen: 15.04.2005 10:35 (88), 04.07.2019 20:44 (1)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.