Risques
- Contournement de la politique de sécurité
- Cross-site scripting
- Déni de service
- Exécution de commandes arbitraires en local ou à distance
- Injection de requêtes SQL
Systèmes affectés
- Oracle pour HP OpenView 8.x ;
- Oracle pour HP OpenView 9.x.
Résumé
De multiples vulnérabilités sont présentes dans les produits Oracle pour HP OpenView.
Description
Oracle pour HP OpenView est, comme son nom l'indique, un serveur Oracle adjoint au produit OpenView de HP. A ce titre, il comporte les mêmes failles que celles décrites dans l'avis CERTA-2005-AVI-414 concernant la version standard d'Oracle. Il est donc possible pour un utilisateur distant mal intentionné de provoquer un déni de service, d'exécuter du code arbitraire, de contourner la politique de sécurité du système ou de réaliser des attaques de type cross-site scripting.
Solution
Pour obtenir les actions correctrices à appliquer, se réferer au bulletin de sécurité de l'éditeur (cf. Documentation).
Documentation
- Avis CERTA-2005-AVI-414 : http://www.certa.ssi.gouv.fr/site/CERTA-2005-AVI-414/CERTA-2005-AVI-414.html
- Bulletin de sécurité d'Oracle et guide de mise à jour: http://www.oracle.com/technology/deploy/security/pdf/cpuoct2005.html
- Bulletin de sécurité de HP HPSBMA012345 du 24 octobre 2005 : http://www1.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBMA012345
- Site de Oracle : http://www.oracle.com
- Site de l'éditeur : http://www.hp.com
