S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 04 décembre 2001
N° CERTA-2001-AVI-158
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités de l'agent dbsnmp du SGBD Oracle.

Gestion du document

Référence CERTA-2001-AVI-158
Titre Multiples vulnérabilités de l'agent dbsnmp du SGBD Oracle.
Date de la première version04 décembre 2001
Date de la dernière version04 décembre 2001
Source(s) Alerte de sécurité #23 d'Oracle.
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Élévation de privilèges

Systèmes affectés

Oracle Database Server versions 8.1.7 et antérieures.

Le débordement de mémoire affecte aussi Oracle Database Server 9.0.1.

Résumé

De multiples vulnérabilités présentes dans dbsnmp (Oracle Intelligent Agent) permettent à un utilisateur mal intentionné d'obtenir les privilèges de l'administrateur root.

Description

dbsnmp (Oracle Intelligent Agent) est un processus permettant la gestion des travaux, le traitement des requêtes snmp, etc.

De multiples vulnérabilités présentes dans l'exécutable dbsnmp (débordement de mémoire, failles dans la gestion du chemin (path) des exécutables) permettent à un utilisateur mal intentionné d'obtenir les privilèges de l'administrateur root.

Solution

Appliquer les correctifs mentionnés dans le document

http://otn.oracle.com/deploy/security/pdf/dbsnmp_patch_matrix.pdf

Documentation

Gestion détaillée du document

    le 04 décembre 2001
    version initiale.