Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
2.1 Les gestionnaires de base de données
- Oracle Database 10g Release 2 versions 10.2.0.1 et 10.2.0.2 ;
- Oracle Database 10g Release 1 versions 10.1.0.4 et 10.1.0.5 ;
- Oracle9i Database Release 2 versions 9.2.0.6 et 9.2.0.7 ;
- Oracle8i Database Release 3 version 8.1.7.4.
2.2 Le gestionnaire d'entreprise
- Oracle Enterprise Manager 10g Grid Control version 10.2.0.1.
2.3 Les applications serveurs
- Oracle Application Server 10g Release 3 version 10.1.3.0.0 ;
- Oracle Application Server 10g Release 2 versions 10.1.2.0.0, 10.1.2.0.2 et 10.1.2.1.0 ;
- Oracle Application Server 10g Release 1 versions 9.0.4.2 et 9.0.4.3.
2.4 Les suites collaboratives
- Oracle Collaboration Suite 10g Release 1 version 10.1.2.0 ;
- Oracle Collaboration Suite Release 2 version 9.0.4.2.
2.5 Les suites de E-commerce
- Oracle E-Business Suite 11i versions 11.5.7 et 11.5.10 ;
- Oracle E-Business Release 11.0.
2.6 Application Pharmaceutique
- Oracle Pharmaceutical Applications versions 4.5.0 et 4.5.2 ;
2.7 Les produits PeopleSoft/JDE
- Oracle PeopleSoft Enterprise Tools 8.x ;
- JD Edwards EnterpriseOne versions 8.95 et 8.96 ;
- JD Edwards OneWorld versions 8.95 et 8.96 ;
Résumé
Plusieurs vulnérabilités sont présentes sur les produits Oracle. Ces vulnérabilités peuvent être exploitées par un utilisateur mal intentionné pour compromettre un système équipé des produits vulnérables.
Description
De multiples vulnérabilités sont présentes dans les produits Oracle.
Certaines de ces vulnérabilités peuvent être exploitée par un
utilisateur mal intentionné pour réaliser des attaques par injection de
requêtes SQL ou pour exécuter du code arbitraire sur le système.
L'absence de traitement effectué sur les paramètres passés dans les
procédures présentes dans les paquetages sys.dbms_dcd_impdp,
sys.kupw$worker, sys.dbms_stats, sys.dbms_upgrade peut être exploitée
par un utilisateur mal intentionné pour réaliser des attaques par
injection SQL ou exécuter du code sur le système.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Oracle du 18 juillet 2006 : http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2006.html
- Référence CVE CVE-2006-3698 https://www.cve.org/CVERecord?id=CVE-2006-3698
- Référence CVE CVE-2006-3699 https://www.cve.org/CVERecord?id=CVE-2006-3699
- Référence CVE CVE-2006-3700 https://www.cve.org/CVERecord?id=CVE-2006-3700
- Référence CVE CVE-2006-3701 https://www.cve.org/CVERecord?id=CVE-2006-3701
- Référence CVE CVE-2006-3702 https://www.cve.org/CVERecord?id=CVE-2006-3702
- Référence CVE CVE-2006-3703 https://www.cve.org/CVERecord?id=CVE-2006-3703
- Référence CVE CVE-2006-3704 https://www.cve.org/CVERecord?id=CVE-2006-3704
- Référence CVE CVE-2006-3705 https://www.cve.org/CVERecord?id=CVE-2006-3705
- Référence CVE CVE-2006-3706 https://www.cve.org/CVERecord?id=CVE-2006-3706
- Référence CVE CVE-2006-3707 https://www.cve.org/CVERecord?id=CVE-2006-3707
- Référence CVE CVE-2006-3708 https://www.cve.org/CVERecord?id=CVE-2006-3708
- Référence CVE CVE-2006-3709 https://www.cve.org/CVERecord?id=CVE-2006-3709
- Référence CVE CVE-2006-3710 https://www.cve.org/CVERecord?id=CVE-2006-3710
- Référence CVE CVE-2006-3711 https://www.cve.org/CVERecord?id=CVE-2006-3711
- Référence CVE CVE-2006-3712 https://www.cve.org/CVERecord?id=CVE-2006-3712
- Référence CVE CVE-2006-3713 https://www.cve.org/CVERecord?id=CVE-2006-3713
- Référence CVE CVE-2006-3714 https://www.cve.org/CVERecord?id=CVE-2006-3714
- Référence CVE CVE-2006-3715 https://www.cve.org/CVERecord?id=CVE-2006-3715
- Référence CVE CVE-2006-3716 https://www.cve.org/CVERecord?id=CVE-2006-3716
- Référence CVE CVE-2006-3717 https://www.cve.org/CVERecord?id=CVE-2006-3717
- Référence CVE CVE-2006-3718 https://www.cve.org/CVERecord?id=CVE-2006-3718
- Référence CVE CVE-2006-3719 https://www.cve.org/CVERecord?id=CVE-2006-3719
- Référence CVE CVE-2006-3720 https://www.cve.org/CVERecord?id=CVE-2006-3720
- Référence CVE CVE-2006-3721 https://www.cve.org/CVERecord?id=CVE-2006-3721
- Référence CVE CVE-2006-3722 https://www.cve.org/CVERecord?id=CVE-2006-3722
- Référence CVE CVE-2006-3723 https://www.cve.org/CVERecord?id=CVE-2006-3723
- Référence CVE CVE-2006-3724 https://www.cve.org/CVERecord?id=CVE-2006-3724