S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 23 avril 2002
N° CERTA-2002-AVI-085
Affaire suivie par: CERT-FR
le 23 avril 2002

Avis du CERT-FR

Objet: Vulnérabilité dans Oracle9i Database Server

Gestion du document

Référence CERTA-2002-AVI-085
Titre Vulnérabilité dans Oracle9i Database Server
Date de la première version 23 avril 2002
Date de la dernière version 23 avril 2002
Source(s) Avis de sécurité Oracle #33
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Elévation de privilèges.

Systèmes affectés

Oracle9i Database Server.

Résumé

Un utilisateur mal intentionné peut obtenir l'accès à des données non autorisées par le biais d'une opération de jointure.

Description

Oracle9i Database Server est le système de gestion de base de données d'Oracle.

Un utilisateur mal intentionné possédant des droits sur le système de gestion de base de données Oracle9i Database Server peut, en utilisant l'opération de jointure sur d'autres tables du système, accèder à des données non autorisées.

Un exemple de cette vulnérabilité qui n'est exploitable qu'en local à été publié sur Internet.

Solution

Installer le correctif de l'éditeur (se référer à la section documentation).

Documentation

Avis de sécurité Oracle #33 

http://otn.oracle.com/deploy/security/pdf/sql_joins_alert.pdf

Gestion détaillée du document

    le 23 avril 2002
    version initiale.