Risque
- Déni de service ;
- exécution de commandes arbitraires en local ou à distance ;
- contournement de la politique de sécurité ;
- injection de requêtes SQL ;
- cross-site scripting.
Systèmes affectés
- Oracle pour HP OpenView 8.x ;
- Oracle pour HP OpenView 9.x.
Résumé
De multiples vulnérabilités sont présentes dans les produits Oracle pour HP OpenView.
Description
Oracle pour HP OpenView est, comme son nom l'indique, un serveur Oracle adjoint au produit OpenView de HP. A ce titre, il comporte les mêmes failles que celles décrites dans l'avis CERTA-2005-AVI-414 concernant la version standard d'Oracle. Il est donc possible pour un utilisateur distant mal intentionné de provoquer un déni de service, d'exécuter du code arbitraire, de contourner la politique de sécurité du système ou de réaliser des attaques de type cross-site scripting.Solution
Pour obtenir les actions correctrices à appliquer, se réferer au bulletin de sécurité de l'éditeur (cf. Documentation).
Documentation
- Site de l'éditeur :
http://www.hp.com
- Bulletin de sécurité de HP HPSBMA012345 du 24 octobre 2005 :
http://www1.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBMA012345
- Avis CERTA-2005-AVI-414 :
http://www.certa.ssi.gouv.fr/site/CERTA-2005-AVI-414/CERTA-2005-AVI-414.html
- Site de Oracle :
http://www.oracle.com
- Bulletin de sécurité d'Oracle et guide de mise à jour:
http://www.oracle.com/technology/deploy/security/pdf/cpuoct2005.html