S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 janvier 2010
N° CERTA-2010-AVI-010
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans des produits Oracle

Gestion du document

Référence CERTA-2010-AVI-010
Titre Multiples vulnérabilités dans des produits Oracle
Date de la première version 13 janvier 2010
Date de la dernière version 13 janvier 2010
Source(s) Bulletin de sécurité Oracle du 13 janvier 2010
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Oracle Access Manager versions 7.0.4.3, 10.1.4.2 ;
  • Oracle Application Server 10g Release 2 (10.1.2), version 10.1.2.3.0 ;
  • Oracle Application Server 10g Release 3 (10.1.3), versions 10.1.3.4.0, 10.1.3.5*, 10.1.3.5.1* ;
  • Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4 ;
  • Oracle Database 10g, version 10.1.0.5 ;
  • Oracle Database 11g, version 11.1.0.7 ;
  • Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV ;
  • Oracle E-Business Suite Release 11i, version 11.5.10.2 ;
  • Oracle E-Business Suite Release 12, versions 12.0.4, 12.0.5, 12.0.6, 12.1.1 et 12.1.2 ;
  • Oracle JRockit R27.6.5 et versions antérieures (JDK/JRE 6, 5, 1.4.2) ;
  • Oracle WebLogic Server 10.0 à 10.0 MP2, 10.3.0 et 10.3.1 ;
  • Oracle WebLogic Server 7.0 à 7.0 SP7 ;
  • Oracle WebLogic Server 8.1 à 8.1 SP6 ;
  • Oracle WebLogic Server 9.0 GA, 9.1 GA et 9.2 à 9.2 MP3 ;
  • PeopleSoft Enterprise HCM (TAM), versions 8.9 et 9.0. ;
  • Primavera P6 Enterprise Project Portfolio Management 6.1, 6.2.1 et 7.0 ;
  • Primavera P6 Web Services 6.2.1, 7.0 et 7.0SP1.

Résumé

De multiples vulnérabilités ont été corrigées dans les produits Oracle. L'exploitation de ces vulnérabilités permet de réaliser diverses actions malveillantes, dont l'exécution de code arbitraire à distance.

Description

De nombreuses vulnérabilités ont été corrigées dans les produits Oracle suivants :

  • Oracle Database ;
  • Oracle Application Server ;
  • Oracle Access Manager ;
  • Oracle E-Business Suite ;
  • PeopleSoft Enterprise HCM (TAM) ;
  • Oracle WebLogic Server ;
  • Oracle JRockit ;
  • Primavera P6 Enterprise Project Portfolio Management ;
  • Primavera P6 Web Services.

L'exploitation de ces vulnérabilités permet de réaliser diverses actions malveillantes, dont l'exécution de code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 13 janvier 2010
    version initiale.