S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 18 juillet 2007
N° CERTA-2007-AVI-311-001
Affaire suivie par: CERT-FR
le 18 juillet 2007

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Oracle

Gestion du document

Référence CERTA-2007-AVI-311-001
Titre Multiples vulnérabilités dans les produits Oracle
Date de la première version 18 juillet 2007
Date de la dernière version 19 juillet 2007
Source(s) Mises à jour critiques Oracle de juillet 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • déni de service à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

  • Oracle Database 10g Release 2, pour les versions 10.2.0.2 et 10.2.0.3 ;
  • Oracle Database 10g, pour la version 10.1.0.5 ;
  • Oracle9i Database, pour la version 9.0.1.5 FIPS+ ;
  • Oracle9i Database Release 2, pour les versions 9.2.0.7, 9.2.0.8 et 9.2.0.8DV ;
  • Oracle Application Express (aussi appelé HTML DB), pour les versions 1.5 à 2.2 ;
  • Oracle Secure Enterprise Search 10g, pour les versions 10.1.6 et 10.1.8 ;
  • Oracle9i Application Server Release 1, pour la version 1.0.2.2 ;
  • Oracle Application Server 10g Release 3 (10.1.3), pour les versions 10.1.3.0.0, 10.1.3.1.0, 10.1.3.2.0 et 10.1.3.3.0 ;
  • Oracle Application Server 10g Release 2 (10.1.2), pour les versions 10.1.2.0.1 à 10.1.2.0.2, 10.1.2.1.0 et 10.1.2.2.0 ;
  • Oracle Application Server 10g (9.0.4), pour la version 9.0.4.3 ;
  • Oracle 10g Collaboration Suite, pour la version 10.1.2 ;
  • Oracle E-Business Suite Release 11i, pour les versions 11.5.8 à 11.5.10 CU2 ;
  • Oracle E-Business Suite Release 12, pour les versions 12.0.0 et 12.0.1 ;
  • Oracle PeopleSoft Enterprise PeopleTools, pour les versions 8.22, 8.47, 8.48 et 8.49 ;
  • Oracle PeopleSoft Enterprise Human Capital Management, pour les versions 8.9 et 9.0 ;
  • Oracle PeopleSoft Enterprise Customer Relationship Management, pour les versions 8.9 et 9.0.

Résumé

Plusieurs vulnérabilités dans les produits Oracle peuvent être exploitées par un utilisateur malintentionné, pour compromettre localement ou à distance un système équipé des produits vulnérables.

Description

Plusieurs vulnérabilités dans les produits Oracle peuvent être exploitées par un utilisateur malintentionné, pour compromettre localement ou à distance un système équipé des produits vulnérables.

L'exploitation de certaines d'entre elles n'exige pas l'authentification de l'utilisateur.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 18 juillet 2007
    version initiale.
    le 19 juillet 2007
    ajout des nombreuses références CVE.