Objet: Correctif de sécurité cumulatif pour les produits Oracle

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

• Oracle Database 10g Release 1, versions 10.1.0.2, 10.1.0.3 et 10.1.0.3.1 ;
• Oracle9i Database Server Release 2, versions 9.2.0.4, 9.2.0.5 et 9.2.0.6 ;
• Oracle9i Database Server Release 1, versions 9.0.1.4, 9.0.1.5 et 9.0.4 ;
• Oracle8i Database Server Release 3, version 8.1.7.4 ;
• Oracle Application Server 10g Release 2 (10.1.2) ;
• Oracle Application Server 10g (9.0.4), versions 9.0.4.0 et 9.0.4.1 ;
• Oracle9i Application Server Release 2, versions 9.0.2.3 et 9.0.3.1 ;
• Oracle9i Application Server Release 1, version 1.0.2.2 ;
• Oracle Collaboration Suite Release 2, version 9.0.4.2 ;
• Oracle E-Business Suite and Applications Release 11i (11.5) ;
• Oracle E-Business Suite and Applications Release 11.0.

Résumé

Oracle diffuse un nouveau correctif de sécurité incluant l'alerte de sécurité 68 (cf avis CERTA-2004-AVI-284) mais y ajoutant la prise en compte de failles additionnelles affectant uniquement les serveurs.

Description

Une vingtaine de failles sont récensées dans l'avis de l'éditeur (tous produits confondus) et traitées par le correctif.

Les références CVE prises en compte dans la révision 3 de l'alerte 68 sont listées la section documentation.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Oracle «Critical Critical Patch Update», révision 1 du 18 janvier 2005 :

  http://www.oracle.com/technology/deploy/security/pdf/cpu-jan-2005_advisory.pdf
  

• Alerte de sécurité #68 d'Oracle :

  http://www.oracle.com/technology/deploy/security/pdf/2004alert68.pdf
  

• Avis de sécurité CERTA-2004-AVI-284 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2004-AVI-284/index.html
  

• Alerte de l'US-CERT du 1er septembre 2004 :

  http://www.us-cert.gov/cas/techalerts/TA04-245A.html
  

• Référence CVE CAN-2004-0637 :

  https://www.cve.org/CVERecord?id=CAN-2004-0637
  

• Référence CVE CAN-2004-0638 :

  https://www.cve.org/CVERecord?id=CAN-2004-0638
  

• Référence CVE CAN-2004-1338 :

  https://www.cve.org/CVERecord?id=CAN-2004-1338
  

• Référence CVE CAN-2004-1339 :

  https://www.cve.org/CVERecord?id=CAN-2004-1339
  

• Référence CVE CAN-2004-1362 :

  https://www.cve.org/CVERecord?id=CAN-2004-1362
  

• Référence CVE CAN-2004-1363 :

  https://www.cve.org/CVERecord?id=CAN-2004-1363
  

• Référence CVE CAN-2004-1364 :

  https://www.cve.org/CVERecord?id=CAN-2004-1364
  

• Référence CVE CAN-2004-1366 :

  https://www.cve.org/CVERecord?id=CAN-2004-1366
  

• Référence CVE CAN-2004-1367 :

  https://www.cve.org/CVERecord?id=CAN-2004-1367
  

• Référence CVE CAN-2004-1368 :

  https://www.cve.org/CVERecord?id=CAN-2004-1368
  

• Référence CVE CAN-2004-1369 :

  https://www.cve.org/CVERecord?id=CAN-2004-1369
  

• Référence CVE CAN-2004-1370 :

  https://www.cve.org/CVERecord?id=CAN-2004-1370
  

• Référence CVE CAN-2004-1371 :

  https://www.cve.org/CVERecord?id=CAN-2004-1371