Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Élévation de privilèges

Systèmes affectés

2.1 Les gestionnaires de base de données

  • Oracle Database 10g Release 2 versions 10.2.0.1 et 10.2.0.2 ;
  • Oracle Database 10g Release 1 versions 10.1.0.4 et 10.1.0.5 ;
  • Oracle9i Database Release 2 versions 9.2.0.6 et 9.2.0.7 ;
  • Oracle8i Database Release 3 version 8.1.7.4.

2.2 Le gestionnaire d'entreprise

  • Oracle Enterprise Manager 10g Grid Control version 10.2.0.1.

2.3 Les applications serveurs

  • Oracle Application Server 10g Release 3 version 10.1.3.0.0 ;
  • Oracle Application Server 10g Release 2 versions 10.1.2.0.0, 10.1.2.0.2 et 10.1.2.1.0 ;
  • Oracle Application Server 10g Release 1 versions 9.0.4.2 et 9.0.4.3.

2.4 Les suites collaboratives

  • Oracle Collaboration Suite 10g Release 1 version 10.1.2.0 ;
  • Oracle Collaboration Suite Release 2 version 9.0.4.2.

2.5 Les suites de E-commerce

  • Oracle E-Business Suite 11i versions 11.5.7 et 11.5.10 ;
  • Oracle E-Business Release 11.0.

2.6 Application Pharmaceutique

  • Oracle Pharmaceutical Applications versions 4.5.0 et 4.5.2 ;

2.7 Les produits PeopleSoft/JDE

  • Oracle PeopleSoft Enterprise Tools 8.x ;
  • JD Edwards EnterpriseOne versions 8.95 et 8.96 ;
  • JD Edwards OneWorld versions 8.95 et 8.96 ;

Résumé

Plusieurs vulnérabilités sont présentes sur les produits Oracle. Ces vulnérabilités peuvent être exploitées par un utilisateur mal intentionné pour compromettre un système équipé des produits vulnérables.

Description

De multiples vulnérabilités sont présentes dans les produits Oracle. Certaines de ces vulnérabilités peuvent être exploitée par un utilisateur mal intentionné pour réaliser des attaques par injection de requêtes SQL ou pour exécuter du code arbitraire sur le système.
L'absence de traitement effectué sur les paramètres passés dans les procédures présentes dans les paquetages sys.dbms_dcd_impdp, sys.kupw$worker, sys.dbms_stats, sys.dbms_upgrade peut être exploitée par un utilisateur mal intentionné pour réaliser des attaques par injection SQL ou exécuter du code sur le système.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation