Risques
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- Oracle Application Server 10g (9.0.4), versions 9.0.4.1, 9.0.4.2 et 9.0.4.3 ;
- Oracle Application Server 10g Release 2, versions 10.1.2.0.0 - 10.1.2.0.2, 10.1.2.1.0 et 10.1.2.2.0 ;
- Oracle Application Server 10g Release 3, versions 10.1.3.0.0 et 10.1.3.1.0 ;
- Oracle Database 10g Release 1, versions 10.1.0.3, 10.1.0.4 et 10.1.0.5 ;
- Oracle Database 10g Release 2, versions 10.2.0.1, 10.2.0.2 et 10.2.0.3 ;
- Oracle Developer Suite, versions 6i, 9.0.4.3 et 10.1.2.0.2 ;
- Oracle E-Business Suite Release 11.0 ;
- Oracle E-Business Suite Release 11j, versions 11.5.7-11.5.10 CU2 ;
- Oracle Enterprise Manager 10g Grid Control Release 1, versions 10.1.0.3, 10.1.0.4 et 10.1.0.5 ;
- Oracle Enterprise Manager 10g Grid Control Release 2, version 10.2.0.1 ;
- Oracle Identity Management 10g, version 10.1.4.0.1 ;
- Oracle PeopleSoft Enterprise PeopleTools versions 8.22, 8.47 et 8.48 ;
- Oracle8i Database Release 3, version 8.1.7.4 ;
- Oracle9i Application Server Release 1, version 1.0.2.2 ;
- Oracle9i Application Server Release 2, version 9.0.2.3 ;
- Oracle9i Database Release 1, versions 9.0.1.4, 9.0.1.5 et 9.0.1.5 FIPS ;
- Oracle9i Database Release 2, versions 9.2.0.5, 9.2.0.6, 9.2.0.7 et 9.2.0.8 ;
Description
Plusieurs vulnérabilités présentes dans les produits Oracle peuvent être exploitées par un utilisateur mal intentionné pour réaliser un déni de service, accéder à des données illégitimement, ou exécuter du code arbitraire sur le système vulnérable.
Oracle a publié 51 correctifs différents pour les différentes vulnérabilités de ses produits.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Alerte Symantec SYMSA-2007-001 du 16 janvier 2007 : http://www.symantec.com/research
- Mises à jour Oracle de janvier 2007 : http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html
- Page d'alertes et de mises à jour d'Oracle : http://www.oracle.com/technology/deploy/security/alerts.htm
- Référence CVE CVE-2007-02222 https://www.cve.org/CVERecord?id=CVE-2007-02222