Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Oracle Application Server 10g (9.0.4), versions 9.0.4.0 et 9.0.4.1 ;
- Oracle Application Server 10g Release 2 (10.1.2) ;
- Oracle Collaboration Suite Release 2, version 9.0.4.2 ;
- Oracle Database 10g Release 1, versions 10.1.0.2, 10.1.0.3 et 10.1.0.3.1 ;
- Oracle E-Business Suite and Applications Release 11.0.
- Oracle E-Business Suite and Applications Release 11i (11.5) ;
- Oracle8i Database Server Release 3, version 8.1.7.4 ;
- Oracle9i Application Server Release 1, version 1.0.2.2 ;
- Oracle9i Application Server Release 2, versions 9.0.2.3 et 9.0.3.1 ;
- Oracle9i Database Server Release 1, versions 9.0.1.4, 9.0.1.5 et 9.0.4 ;
- Oracle9i Database Server Release 2, versions 9.2.0.4, 9.2.0.5 et 9.2.0.6 ;
Résumé
Oracle diffuse un nouveau correctif de sécurité incluant l'alerte de sécurité 68 (cf avis CERTA-2004-AVI-284) mais y ajoutant la prise en compte de failles additionnelles affectant uniquement les serveurs.
Description
Une vingtaine de failles sont récensées dans l'avis de l'éditeur (tous produits confondus) et traitées par le correctif.
Les références CVE prises en compte dans la révision 3 de l'alerte 68 sont listées la section documentation.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Alerte de l'US-CERT du 1er septembre 2004 : http://www.us-cert.gov/cas/techalerts/TA04-245A.html
- Alerte de sécurité #68 d'Oracle : http://www.oracle.com/technology/deploy/security/pdf/2004alert68.pdf
- Avis de sécurité CERTA-2004-AVI-284 : http://www.certa.ssi.gouv.fr/site/CERTA-2004-AVI-284/index.html
- Oracle «Critical Critical Patch Update», révision 1 du 18 janvier 2005 : http://www.oracle.com/technology/deploy/security/pdf/cpu-jan-2005_advisory.pdf