Risque

  • Déni de service à distance ;
  • atteinte à l'intégrité des données ;
  • atteinte à la confidentialité des données.

Systèmes affectés

  • Oracle Database 9i, 10g et 11g ;
  • Client Oracle SQL*Plus ;
  • Oracle Secure Backup version 10.x ;
  • Oracle TimesTen In-Memory Database version 7.x ;
  • Oracle Application Server 10g ;
  • Oracle Collaboration Suite 10g ;
  • Oracle E-business Suite 11i et 12 ;
  • Oracle Enterprise Manager Grid Control 10g ;
  • Peoplesoft Enterprise HRMS ;
  • JD Edwards Tools ;
  • Oracle WebLogic Server, versions 7.x à 10. x ;
  • Oracle WebLogic Portal, versions 8.x à 10. x.

Résumé

Plusieurs vulnérabilités affectent les produits Oracle. Elles permettent à un utilisateur malveillant de porter atteinte à l'intégrité, à la confidentialité ou à la disponibilité des données.

Description

  • Huit vulnérabilités, exploitables à distance après authentification, affectent les bases de données (Oracle Database). Elles permettent de porter atteinte à l'intégrité, à la confidentialité ou à la disponibilité des données ;
  • deux vulnérabilités affectent les clients SQL*Plus et permettent de porter atteinte à la confidentialité des données ;
  • neuf vulnérabilités, exploitables à distance sans authentification, concernent Oracle Secure Backup. Quatre d'entre elles ne permettent qu'un déni de service. Les autres portent en plus atteinte à l'intégrité et à la confidentialité des données ;
  • une vulnérabilité affecte la base de données résidente en mémoire, Oracle TimesTen In-Memory Database. Elle permet de porter atteinte à l'intégrité, à la confidentialité et à la disponibilité des données ;
  • quatre vulnérabilités, dont trois sont exploitables sans authentification, affectent Oracle Application Server. Elles permettent de porter atteinte à la confidentialité ou à l'intégrité des données. Trois d'entre elles sont exploitables à distance ;
  • une vulnérabilité de Oracle Collaboration Suite permet, à distance, à un utilisateur authentifié de lire indûment des données ;
  • quatre vulnérabilités, dont une est exploitable sans authentification, sont présentes dans Oracle E-business Suite. Elles permettent de porter atteinte à la confidentialité ou à l'intégrité des données. Trois d'entre elles sont exploitables à distance ;
  • une vulnérabilité concerne Oracle Enterprise Manager Grid Control. Elle permet à un utilisateur authentifié d'accéder à distance à des données ;
  • cinq vulnérabilités sont présentes dans PeopleSoft. Elles permettent à un utilisateur authentifié de porter atteinte, à distance, à l'intégrité, à la confidentialité ou à la disponibilité des données ;
  • une vulnérabilité de JD Edwards Tools permet à un utilisateur authentifié de lire indûment des données, à distance ;
  • quatre vulnérabilités, exploitables à distance et sans authentification, affectent Oracle WebLogic Server. Elles permettent de porter atteinte à la confidentialité ou à l'intégrité des données.
  • une vulnérabilité, exploitable à distance et sans authentification, affecte Oracle WebLogic Portal. Elle permet de porter atteinte à la confidentialité et à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation