S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 10 février 2004
N° CERTA-2004-AVI-030
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités sur Oracle9i Database

Gestion du document

Référence CERTA-2004-AVI-030
Titre Vulnérabilités sur Oracle9i Database
Date de la première version10 février 2004
Date de la dernière version10 février 2004
Source(s) Avis de sécurité NGSSoftware
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Élévation de privilèges

Systèmes affectés

  • Oracle9i Database Enterprise Edition v9.2.0.3 ;
  • Oracle9i Database Standard Edition v9.2.0.3.

Résumé

Plusieurs vulnérabilités découvertes dans Oracle9i Database permettent à un utilisateur local de réaliser une élévation de privilèges (les privilèges System pour Windows ou Oracle pour Unix).

Description

Une faille de type débordement de mémoire présente sur la variable char_expr dans les deux fonctions de conversion NUMTOYMINTERVAL et NUMTODSINTERVAL permet à un utilisateur mal intentionné d'exécuter du code arbitraire sur système.

Deux autres débordements de mémoire sont présents sur les paramètres TZD (Time Zone Difference) de la fonction FROM_TZ et TIME_ZONE.

Solution

Mettre à jour Oracle9i Database avec la version Oracle9i Database Release 2, version 9.2.0.3 ou la version 9.2.0.4 en appliquant le patch 3 (cf site Metlalink Oracle, section documentation).

Documentation

Gestion détaillée du document

    le 10 février 2004
    version initiale.