S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 15 juillet 2009
N° CERTA-2009-AVI-279
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans des produits Oracle

Gestion du document

Référence CERTA-2009-AVI-279
Titre Multiples vulnérabilités dans des produits Oracle
Date de la première version15 juillet 2009
Date de la dernière version15 juillet 2009
Source(s) Bulletin de sécurité Oracle de juillet 2009

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Oracle Application Server 10g Release 2 (10.1.2), version 10.1.2.3.0 ;
  • Oracle Application Server 10g Release 3 (10.1.3), versions 10.1.3.3.0, 10.1.3.4.0 ;
  • Oracle Complex Event Processing 10.3 et WebLogic Event Server 2.0 ;
  • Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4 ;
  • Oracle Database 10g, version 10.1.0.5 ;
  • Oracle Database 11g, versions 11.1.0.6, 11.1.0.7 ;
  • Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV ;
  • Oracle E-Business Suite Release 11i, version 11.5.10.2 ;
  • Oracle E-Business Suite Release 12, version 12.0.6 ;
  • Oracle E-Business Suite Release 12, version 12.1 ;
  • Oracle Enterprise Manager Database Control 11, versions 11.1.0.6, 11.1.0.7 ;
  • Oracle Enterprise Manager Grid Control 10g Release 4, version 10.2.0.4 ;
  • Oracle Identity Management 10g, versions 10.1.4.0.1, 10.1.4.2.0, 10.1.4.3.0 ;
  • Oracle JRockit R27.6.3 et les versions précédentes (JDK/JRE 6, 5, 1.4.2).
  • Oracle WebLogic Server 10.3, 10.0MP1 ;
  • Oracle WebLogic Server 7.0 à 7.0 SP7 ;
  • Oracle WebLogic Server 8.1 à 8.1 SP6 ;
  • Oracle WebLogic Server 9.0 GA, 9.1 GA, 9.2 à 9.2 MP3 ;
  • PeopleSoft Enterprise HRMS versions 8.9 et 9.0 ;
  • PeopleSoft Enterprise PeopleTools version 8.49 ;
  • Siebel Highly Interactive Client versions 7.5.3, 7.7.2, 7.8, 8.0, 8.1 ;

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Oracle. L'exploitation de ces vulnérabilités permet de réaliser diverses actions malveillantes, dont l'exécution de code arbitraire à distance.

Description

Un grand nombre de vulnérabilités a été découvert dans les produits Oracle. L'exploitation de ces vulnérabilités permet de réaliser diverses actions malveillantes, dont l'exécution de code arbitraire à distance pour certaines.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 15 juillet 2009
    version initiale.