S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 28 avril 2005
N° CERTA-2005-ALE-002
Affaire suivie par: CERT-FR
le 28 avril 2005

Bulletin d'alerte du CERT-FR

Objet: Exploitation d’une vulnérabilité dans Oracle Database Server

Gestion du document

Référence CERTA-2005-ALE-002
Titre Exploitation d’une vulnérabilité dans Oracle Database Server
Date de la première version 28 avril 2005
Date de la dernière version 28 avril 2005
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service ;
  • exécution de code arbitraire.

Systèmes affectés

Oracle9i Database Release 2.

Description

Une vulnérabilité du service XDB FTP d'Oracle9i Database datant de 2003, permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire.

Cette vulnérabilité est actuellement exploitée sur l'Internet.

Contournement provisoire

Afin de diminuer les risques d'exploitation de cette vulnérabilité, il est nécessaire de :

  • Désactiver le serveur HTTP dans l'application XML Database ;
  • désactiver le serveur FTP dans l'application XML Database ;
  • filtrer le port 2100/tcp au niveau du pare-feu.

Solution

Appliquer sans délai les mises à jour de sécurité nécessaires.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 28 avril 2005
    version initiale.