S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 14 janvier 2009
N° CERTA-2009-AVI-013
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités des produits Oracle

Gestion du document

Référence CERTA-2009-AVI-013
Titre Vulnérabilités des produits Oracle
Date de la première version14 janvier 2009
Date de la dernière version14 janvier 2009
Source(s) Bulletin de sécurité Oracle du 13 janvier 2009

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Déni de service à distance

Systèmes affectés

  • Client Oracle SQL*Plus ;
  • JD Edwards Tools ;
  • Oracle Application Server 10g ;
  • Oracle Collaboration Suite 10g ;
  • Oracle Database 9i, 10g et 11g ;
  • Oracle E-business Suite 11i et 12 ;
  • Oracle Enterprise Manager Grid Control 10g ;
  • Oracle Secure Backup version 10.x ;
  • Oracle TimesTen In-Memory Database version 7.x ;
  • Oracle WebLogic Portal, versions 8.x à 10. x.
  • Oracle WebLogic Server, versions 7.x à 10. x ;
  • Peoplesoft Enterprise HRMS ;

Résumé

Plusieurs vulnérabilités affectent les produits Oracle. Elles permettent à un utilisateur malveillant de porter atteinte à l'intégrité, à la confidentialité ou à la disponibilité des données.

Description

  • Huit vulnérabilités, exploitables à distance après authentification, affectent les bases de données (Oracle Database). Elles permettent de porter atteinte à l'intégrité, à la confidentialité ou à la disponibilité des données ;
  • deux vulnérabilités affectent les clients SQL*Plus et permettent de porter atteinte à la confidentialité des données ;
  • neuf vulnérabilités, exploitables à distance sans authentification, concernent Oracle Secure Backup. Quatre d'entre elles ne permettent qu'un déni de service. Les autres portent en plus atteinte à l'intégrité et à la confidentialité des données ;
  • une vulnérabilité affecte la base de données résidente en mémoire, Oracle TimesTen In-Memory Database. Elle permet de porter atteinte à l'intégrité, à la confidentialité et à la disponibilité des données ;
  • quatre vulnérabilités, dont trois sont exploitables sans authentification, affectent Oracle Application Server. Elles permettent de porter atteinte à la confidentialité ou à l'intégrité des données. Trois d'entre elles sont exploitables à distance ;
  • une vulnérabilité de Oracle Collaboration Suite permet, à distance, à un utilisateur authentifié de lire indûment des données ;
  • quatre vulnérabilités, dont une est exploitable sans authentification, sont présentes dans Oracle E-business Suite. Elles permettent de porter atteinte à la confidentialité ou à l'intégrité des données. Trois d'entre elles sont exploitables à distance ;
  • une vulnérabilité concerne Oracle Enterprise Manager Grid Control. Elle permet à un utilisateur authentifié d'accéder à distance à des données ;
  • cinq vulnérabilités sont présentes dans PeopleSoft. Elles permettent à un utilisateur authentifié de porter atteinte, à distance, à l'intégrité, à la confidentialité ou à la disponibilité des données ;
  • une vulnérabilité de JD Edwards Tools permet à un utilisateur authentifié de lire indûment des données, à distance ;
  • quatre vulnérabilités, exploitables à distance et sans authentification, affectent Oracle WebLogic Server. Elles permettent de porter atteinte à la confidentialité ou à l'intégrité des données.
  • une vulnérabilité, exploitable à distance et sans authentification, affecte Oracle WebLogic Portal. Elle permet de porter atteinte à la confidentialité et à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 14 janvier 2009
    version initiale.