Risque
Exécution de code arbitraire à distance.
Systèmes affectés
- Oracle Database 10g Release 1, version 10.1.0.2 ;
- Oracle9i Database Server Release 2, versions 9.2.0.4 et 9.2.0.5 ;
- Oracle9i Database Server Release 1, versions 9.0.1.4, 9.0.1.5 et 9.0.4 ;
- Oracle8i Database Server Release 3, version 8.1.7.4 ;
- Oracle Entreprise Manager Grid Control 10g, version 10.1.0.2 ;
- Oracle Entreprise Manager Database Control 10g, version 10.1.0.2 ;
- Oracle Application Server 10g (9.0.4), versions 9.0.4.0 et 9.0.4.1 ;
- Oracle9i Application Server Release 2, versions 9.0.2.3 et 9.0.3.1 ;
- Oracle9i Application Server Release 1, version 1.0.2.2.
ces vulnérabilités n'affectent pas les versions suivantes :
- Oracle Database 10g Release 1, version 10.1.0.3 ;
- Oracle Entreprise Manager Grid Control 10g, version 10.1.0.3 ;
- Oracle Application Server 10g (9.0.4), version 9.0.4.2.
Résumé
Plusieurs vulnérabilités sont présentes dans les produits Oracle Database Server, Entreprise Manager et Application Server permettant à un individu mal intentionné d'exécuter du code arbitraire à distance. Les solutions Collaboration Suite et E-Business Suite 11i intégrant ces produits sont également affectés par ces vulnérabilités.
Solution
Appliquer les correctifs suivant la version affectée :
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=281189.1
Documentation
- Alerte de sécurité #68 d'Oracle :
http://www.oracle.com/technology/deploy/security/pdf/2004alert68.pdf
- Bulletin de sécurité de NGS Software :
http://www.nextgenss.com/advisories/oracle-01.txt
- Bulletin de sécurité d'Intégrigy :
http://www.integrigy.com/alerts/OraAlert68OraAppsImpact.htm
- Bulletin de sécurité d'Application Security :
http://www.appsecinc.com/resources/alerts/oracle/2004-0001/
- Bulletin de sécurité de Pete Finnigan :
http://www.petefinnigan.com/alerts.htm
- Référence CVE CAN-2004-0637 :
https://www.cve.org/CVERecord?id=CAN-2004-0637
- Référence CVE CAN-2004-0638 :
https://www.cve.org/CVERecord?id=CAN-2004-0638
