S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 31 octobre 2001
N° CERTA-2001-AVI-136
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans Oracle Label Security

Gestion du document

Référence CERTA-2001-AVI-136
Titre Vulnérabilités dans Oracle Label Security
Date de la première version31 octobre 2001
Date de la dernière version31 octobre 2001
Source(s) Bulletin Alerte Sécurité Oracle 21
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Élévation des droits d'accès aux données

Systèmes affectés

Serveurs de base de données Oracle Label Security 8.1.7 et 9.0.1 sur plate-formes Sun Solaris 2.6 à 2.8.

Description

Oracle Label Security est une option du SGBD Oracle réalisant un contrôle d'accès au niveau des enregistrements de la base de données.

Trois vulnérabilités présentes dans Oracle Label Security permettent à un utilisateur mal intentionné d'élever ses droits d'accès aux données de la base Oracle.

Ces vulnérabilités peuvent potentiellement être exploitées lorsqu'une des fonctionnalités suivantes est utilisée :

  • oracle label security audit ;
  • SET_LABEL ;
  • SQL*Predicate.

Solution

Pour la version 8.1.7 de Oracle Label Security, un correctif a été distribué par Oracle sous le numéro 2022108. Ce correctif peut être téléchargé sur le site web Metalink d'Oracle,

http://metalink.oracle.com

En ce qui concerne la version 9.0.1, le correctif n'est pas encore distribué à la date de rédaction de ce document. Oracle annonce que le correctif sera distribué avec la nouvelle version d'Oracle : Oracle 9i version 2.

Documentation

Gestion détaillée du document

    le 31 octobre 2001
    version initiale.