S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 14 avril 2010
N° CERTA-2010-AVI-179
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Oracle

Gestion du document

Référence CERTA-2010-AVI-179
Titre Multiples vulnérabilités dans les produits Oracle
Date de la première version14 avril 2010
Date de la dernière version14 avril 2010
Source(s) Bulletin de sécurité Oracle du 13 avril 2010

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Oracle Agile - Engineering Data Management, version 6.1.1.0 ;
  • Oracle Application Server 10gR2, version 10.1.2.3.0 ;
  • Oracle Clinical Remote Data Capture Option 4.5.3, 4.6 ;
  • Oracle Collaboration Suite 10g, version 10.1.2.4 ;
  • Oracle Communications Unified Inventory Management version 7.1 ;
  • Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4 ;
  • Oracle Database 10g, version 10.1.0.5 ;
  • Oracle Database 11g Release 1, version 11.1.0.7 ;
  • Oracle Database 11g Release 2, version 11.2.0.1 ;
  • Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV ;
  • Oracle E-Business Suite Release 11i, versions 11.5.10, 11.5.10.2 ;
  • Oracle E-Business Suite Release 12, versions 12.0.4, 12.0.5, 12.0.6, 12.1.1 et 12.1.2 ;
  • Oracle Identity Management 10g, version 10.1.4.0.1 et 10.1.4.3 ;
  • Oracle Retail Markdown Optimization version 13.1 ;
  • Oracle Retail Place In-Season version 12.2 ;
  • Oracle Retail Plan In-Season version 12.2 ;
  • Oracle Sun Product Suite.
  • Oracle Thesaurus Management System 4.5.2, 4.6, 4.6.1 ;
  • Oracle Transportation Manager, versions: 5.5.05.07, 5.5.06.00, 6.0.03 ;
  • PeopleSoft Enterprise PeopleTools, versions 8.49 et 8.50 ;

Résumé

De multiples vulnérabilités ont été corrigées dans les produits Oracle. L'exploitation de ces vulnérabilités permet de réaliser diverses actions malveillantes, dont l'exécution de code arbitraire à distance.

Description

De nombreuses vulnérabilités ont été corrigées dans des produits Oracle, permettant entre autre, l'exécution de code arbitraire à distance. Ce bulletin couvre aussi les produits Oracle Sun, tels que Solaris ou Sun JAVA.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 14 avril 2010
    version initiale.