S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 13 juin 2002
N° CERTA-2002-AVI-127
Affaire suivie par: CERT-FR
le 13 juin 2002

Avis du CERT-FR

Objet: Vulnérabilité sur Oracle Net

Gestion du document

Référence CERTA-2002-AVI-127
Titre Vulnérabilité sur Oracle Net
Date de la première version 13 juin 2002
Date de la dernière version 13 juin 2002
Source(s) Avis de sécurité Oracle #34
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

  • Oracle9i Database Release 9.0.x sur Windows ;
  • Oracle9i Database Release 9.0.x sur VM.

Résumé

Une vulnérabilité présente sur le composant principal d'Oracle Net (Oracle Net Listener) permet à un utilisateur mal intentionné d'effectuer un déni de service sur la machine où est installé ce service.

Description

Le démon réseau Oracle Net Listener (port 1521 par défaut) est le composant principal d' Oracle Net, l'application qui permet d'accèder à distance à une base de donnée Oracle.

Un utilisateur mal intentionné peut, par le biais de requêtes malicieusement construites, effectuer un débordement de mémoire sur le démon et récupérer les privilèges du super utilisateur du système.

Solution

Appliquer le correctif 2367681 disponible sur le site d'oracle (se référer à la section documentation).

Documentation

Avis de sécurité Oracle #34 : 

http://technet.oracle.com/deploy/security/pdf/net9_dos_alert.pdf


Téléchargement du correctif : 
http://metalink.oracle.com/

Gestion détaillée du document

    le 13 juin 2002
    version initiale.