Risque

Elévation des droits d'accès aux données.

Systèmes affectés

Serveurs de base de données Oracle Label Security 8.1.7 et 9.0.1 sur plate-formes Sun Solaris 2.6 à 2.8.

Description

Oracle Label Security est une option du SGBD Oracle réalisant un contrôle d'accès au niveau des enregistrements de la base de données.

Trois vulnérabilités présentes dans Oracle Label Security permettent à un utilisateur mal intentionné d'élever ses droits d'accès aux données de la base Oracle.

Ces vulnérabilités peuvent potentiellement être exploitées lorsqu'une des fonctionnalités suivantes est utilisée :

  • oracle label security audit ;
  • SET_LABEL ;
  • SQL*Predicate.

Solution

Pour la version 8.1.7 de Oracle Label Security, un correctif a été distribué par Oracle sous le numéro 2022108. Ce correctif peut être téléchargé sur le site web Metalink d'Oracle,

http://metalink.oracle.com

En ce qui concerne la version 9.0.1, le correctif n'est pas encore distribué à la date de rédaction de ce document. Oracle annonce que le correctif sera distribué avec la nouvelle version d'Oracle : Oracle 9i version 2.

Documentation

Bulletin de sécurité Oracle :

http://otn.oracle.com/deploy/security/pdf/OLS817alert.pdf