Eddie Zhu

**Nome do software vulnerável e versões afetadas** Oracle Database Server versão 19c **Descrição** A vulnerabilidade afeta o componente Oracle Database - Advanced Queuing, permitindo que um invasor com privilégios elevados — possuindo privilégios de usuário DBA e acesso à rede via Oracle Net — comprometa o sistema. Ataques bem-sucedidos podem resultar no controle do Oracle Database - Advanced Queuing. **Recomendações** Para o Oracle Database Server versão 19c, atualize para uma versão que inclua a correção para este problema, a fim de evitar uma possível exploração.

**Nome do software vulnerável e versões afetadas** Oracle Database - Enterprise Edition Recovery (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade no componente Oracle Database - Enterprise Edition Recovery permite que um invasor com privilégios elevados, dotado do privilégio EXECUTE ON DBMS IR.EXECUTESQLSCRIPT e acesso à rede via Oracle Net, comprometa o Oracle Database - Enterprise Edition Recovery. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle Database - Enterprise Edition Recovery. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Database Server versões 12.1.0.2, 12.2.0.1 e 19c **Descrição** A vulnerabilidade afeta o componente Oracle LogMiner, permitindo que um invasor com privilégios elevados, com privilégios de DBA e acesso à rede via Oracle Net, comprometa o Oracle LogMiner. Isso pode resultar em acesso não autorizado para criação, exclusão ou modificação de dados críticos, bem como acesso de leitura não autorizado a um subconjunto de dados acessíveis pelo Oracle LogMiner. Além disso, pode causar um travamento ou falhas repetidas do Oracle LogMiner. **Recomendações** Para a versão 12.1.0.2, atualize para uma versão que inclua a correção para este problema. Para a versão 12.2.0.1, atualize para uma versão que inclua a correção para este problema. Para a versão 19c, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente Oracle LogMiner para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Oracle Database Server versões 12.1.0.2, 12.2.0.1 e 19c **Descrição** A vulnerabilidade existe devido à validação insuficiente de entradas no componente Oracle Text do Oracle Database Server. Isso permite que um invasor remoto execute código arbitrário usando o protocolo Oracle Net. A vulnerabilidade pode ser facilmente explorada por um invasor com privilégios elevados, que possua os privilégios Create Any Procedure e Alter Any Table, além de acesso à rede via Oracle Net, resultando potencialmente na tomada de controle do Oracle Text. **Recomendações** Para a versão 12.1.0.2, atualize para uma versão que inclua a correção para este problema. Para a versão 12.2.0.1, atualize para uma versão que inclua a correção para este problema. Para a versão 19c, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente Oracle Text até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Java SE versão 7u301 **Descrição** O problema está relacionado ao componente JNDI e pode ser explorado por um invasor não autenticado com acesso à rede por meio de vários protocolos, podendo levar a uma negação de serviço (DOS) parcial do Java SE. Essa vulnerabilidade se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança. Ela também pode ser explorada por meio de APIs no componente especificado, por exemplo, através de um serviço web que forneça dados às APIs. **Recomendações** Para o Java SE versão 7u301, considere desativar o componente JNDI ou restringir seu uso até que um patch esteja disponível. Como solução alternativa temporária, evite usar APIs no componente JNDI que possam estar vulneráveis à exploração. Restrinja o acesso a serviços web que forneçam dados às APIs JNDI para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Database Server, versões 12.1.0.2 a 19c **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Oracle XML DB, permitindo que um invasor com privilégios elevados e acesso à rede via Oracle Net comprometa o Oracle XML DB. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle XML DB. O invasor deve ter os privilégios Create Any Procedure e Create Public Synonym. **Recomendações** Para as versões 12.1.0.2, 12.2.0.1 e 19c, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Database Server versões 12.1.0.2, 12.2.0.1 e 19c **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Oracle XML DB. Isso permite que um invasor com privilégios elevados, com privilégios de “Create Any Procedure” e “Create Public Synonym” e acesso à rede via Oracle Net, comprometa o Oracle XML DB, podendo levar a uma tomada de controle. A vulnerabilidade pode ser explorada remotamente. **Recomendações** Para a versão 12.1.0.2, atualize para uma versão que inclua a correção para este problema. Para a versão 12.2.0.1, atualize para uma versão que inclua a correção para este problema. Para a versão 19c, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente Oracle XML DB até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Oracle Database Server de 12.1.0.2 a 19c **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Oracle XML DB, permitindo que um invasor com privilégios elevados, dotado do privilégio Alter User e acesso à rede via Oracle Net, comprometa o Oracle XML DB. Isso pode resultar em acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis pelo Oracle XML DB. **Recomendações** Para as versões 12.1.0.2, 12.2.0.1 e 19c, atualize para uma versão que inclua a correção para este problema a fim de evitar a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** IBM Db2 para Linux, UNIX e Windows (inclui o Db2 Connect Server) versão 11.5 **Descrição** O problema é causado por uma condição de corrida em um link simbólico, permitindo que um usuário local acesse e altere a configuração do Db2. Também é descrito como sendo causado por erros de sincronização ao usar um recurso compartilhado, o que poderia permitir que um invasor modificasse a configuração do DB2. **Recomendações** Para o IBM Db2 para Linux, UNIX e Windows (inclui o Db2 Connect Server) versão 11.5, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Oracle Database Server versões 12.1.0.2, 12.2.0.1, 18c e 19c Descrição: A vulnerabilidade existe devido à validação insuficiente de entradas no componente RDBMS Scheduler do Oracle Database Server, permitindo que um invasor remoto execute código arbitrário enviando pacotes de rede especialmente criados. Isso pode resultar na tomada de controle do RDBMS Scheduler. Um invasor com privilégios limitados, mas com permissão para exportar o banco de dados completo e acesso à rede via Oracle Net, pode explorar essa vulnerabilidade. Recomendações: Para as versões 12.1.0.2, 12.2.0.1, 18c e 19c, atualize para uma versão que inclua a correção para esta vulnerabilidade a fim de impedir a exploração. Como solução alternativa temporária, considere restringir o acesso à rede via Oracle Net para minimizar o risco de exploração. Restrinja o privilégio de Exportação Completa do Banco de Dados para impedir que invasores com privilégios limitados explorem a vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Oracle Database Server versões 12.2.0.1, 18c, 19c Descrição: O problema está relacionado ao componente RDBMS Sharding do Oracle Database Server, onde uma vulnerabilidade facilmente explorável permite que um invasor com privilégios elevados e acesso à rede via Oracle Net comprometa o RDBMS Sharding. Isso pode resultar na tomada de controle do RDBMS Sharding. A vulnerabilidade está associada a um controle de acesso inadequado e pode ser explorada por um invasor com privilégios de Create Any Procedure, Create Any View e Create Any Trigger. Recomendações: Para as versões 12.2.0.1, 18c e 19c, considere restringir o acesso ao componente RDBMS Sharding até que um patch esteja disponível. Como solução alternativa temporária, limite os privilégios dos usuários com privilégios de Create Any Procedure, Create Any View e Create Any Trigger para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Oracle Database Server versões 11.2.0.4, 12.1.0.2, 12.2.0.1 Descrição: O problema está relacionado à validação insuficiente de entradas no componente Database Filesystem. Isso permite que um invasor com privilégios elevados, incluindo Resource, Create Table, Create View, Create Procedure, Dbfs role e acesso à rede via Oracle Net, comprometa o Sistema de Arquivos do Banco de Dados. Ataques bem-sucedidos podem resultar na capacidade não autorizada de causar um travamento ou falhas repetidas do Sistema de Arquivos do Banco de Dados, levando a uma negação de serviço. A vulnerabilidade pode ser explorada remotamente. Recomendações: Para a versão 11.2.0.4, atualize para uma versão que inclua a correção para este problema. Para a versão 12.1.0.2, atualize para uma versão que inclua a correção para este problema. Para a versão 12.2.0.1, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente Sistema de Arquivos do Banco de Dados para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** IBM DB2 para Linux, UNIX e Windows (inclui o DB2 Connect Server) versões 9.7, 10.1, 10.5, 11.1 e 11.5 **Descrição** O problema é causado por erros de sincronização ao usar um recurso compartilhado, o que pode permitir que um invasor obtenha acesso não autorizado a informações protegidas. Um usuário local poderia obter informações confidenciais utilizando uma condição de corrida de um link simbólico. **Recomendações** Para as versões 9.7, 10.1, 10.5, 11.1 e 11.5, considere restringir o acesso ao link simbólico para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, considere desativar o uso de links simbólicos nas versões afetadas do DB2 até que o problema seja resolvido. Evite usar as versões afetadas do DB2 para armazenamento de informações confidenciais até que a vulnerabilidade seja corrigida.

**Nome do software vulnerável e versões afetadas** IBM DB2 para Linux, UNIX e Windows (inclui o DB2 Connect Server) versões 9.7, 10.1, 10.5, 11.1 e 11.5 **Descrição** O problema é causado por uma verificação inadequada dos limites, levando a um estouro de buffer. Isso poderia permitir que um invasor local executasse código arbitrário no sistema com privilégios de root. A vulnerabilidade está relacionada à verificação insuficiente do tamanho dos dados copiados. **Recomendações** Para as versões 9.7, 10.1, 10.5, 11.1 e 11.5, atualize para uma versão que inclua a correção para o problema de estouro de buffer. Como solução temporária, considere restringir o acesso ao sistema para minimizar o risco de exploração. Evite usar o sistema com privilégios de root até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Oracle Database de 12.1.0.2 a 19c **Descrição** A vulnerabilidade existe devido à validação insuficiente de entradas no componente Core RDBMS do Oracle Database. A exploração dessa vulnerabilidade pode permitir que um invasor comprometa a integridade dos dados ou cause uma negação parcial de serviço. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor e podem resultar em acesso não autorizado para modificar dados ou causar uma negação parcial de serviço. **Recomendações** Para as versões 12.1.0.2, 12.2.0.1, 18c e 19c, atualize para uma versão que inclua a correção para este problema a fim de evitar a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Database Server versões 12.1.0.2, 12.2.0.1, 18c, 19c **Descrição** O problema está relacionado ao controle de acesso insuficiente no componente Oracle Applications DBA, permitindo que um invasor com privilégios de baixo nível e privilégio de logon local comprometa o Oracle Applications DBA. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem resultar em acesso não autorizado para modificar, adicionar ou excluir dados, bem como causar uma negação de serviço parcial. **Recomendações** Para as versões 12.1.0.2, 12.2.0.1, 18c e 19c, considere restringir o acesso ao componente Oracle Applications DBA para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, considere desativar qualquer funcionalidade que dependa de privilégios de logon local na infraestrutura onde o Oracle Applications DBA é executado. Restrinja o acesso a dados confidenciais e monitore por quaisquer alterações não autorizadas ou tentativas de negação de serviço. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Applications DBA, versões 11.2.0.4 a 19c **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente Oracle Applications DBA do Oracle Database Server. A exploração dessa vulnerabilidade pode permitir que um invasor modifique, adicione ou exclua dados, ou provoque uma negação de serviço. A vulnerabilidade pode ser facilmente explorada por um invasor com privilégios limitados que possua privilégios de logon local na infraestrutura onde o Oracle Applications DBA é executado. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor e podem resultar em acesso não autorizado a alguns dados acessíveis pelo Oracle Applications DBA e em uma negação parcial de serviço. **Recomendações** Para as versões 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c e 19c, considere restringir o acesso ao componente Oracle Applications DBA para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, limite os privilégios de logon local na infraestrutura onde o Oracle Applications DBA é executado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** IBM DB2 for Linux, UNIX and Windows (includes DB2 Connect Server) versions 9.7, 10.1, 10.5, and 11.1 **Description** The issue is a buffer overflow that could allow an authenticated local attacker to execute arbitrary code on the system as root. **Recommendations** For versions 9.7, 10.1, 10.5, and 11.1, update to a version that includes the fix for this issue to prevent exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** IBM DB2 versions 9.7 through 11.1 **Description** The issue is caused by improper bounds checking, leading to a stack-based buffer overflow in the libdb2e.so.1 library. This could allow an attacker to execute arbitrary code. **Recommendations** For IBM DB2 versions 9.7 through 11.1, update to a version that includes the fix for the buffer overflow issue in the libdb2e.so.1 library.

**Name of the Vulnerable Software and Affected Versions** IBM DB2 for Linux, UNIX and Windows (includes DB2 Connect Server) versions 9.7, 10.1, 10.5, and 11.1 **Description** The issue is a buffer overflow that could allow an authenticated local attacker to execute arbitrary code on the system as root. **Recommendations** For versions 9.7, 10.1, 10.5, and 11.1, update to a version that includes the fix for this issue to prevent exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.