S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 19 janvier 2011
N° CERTA-2011-AVI-022
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Oracle

Gestion du document

Référence CERTA-2011-AVI-022
Titre Multiples vulnérabilités dans les produits Oracle
Date de la première version 19 janvier 2011
Date de la dernière version 19 janvier 2011
Source(s) Bulletin de sécurité Oracle de janvier 2011
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Élévation de privilèges

Systèmes affectés

  • Oracle Agile Core, versions 9.3.0.2, 9.3.1 ;
  • Oracle Application Server 10g Release 2, version 10.1.2.3.0 ;
  • Oracle Argus Safety, versions 5.0, 5.0.1, 5.0.2, 5.0.3 ;
  • Oracle Audit Vault 10g Release 2, version 10.2.3.2 ;
  • Oracle Beehive, versions 2.0.1.0, 2.0.1.1, 2.0.1.2, 2.0.1.2.1, 2.0.1.3 ;
  • Oracle BI Publisher, versions 10.1.3.3.2, 10.1.3.4.0, 10.1.3.4.1, 11.1.1.3 ;
  • Oracle Database 10g Release 1, version 10.1.0.5 ;
  • Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5 ;
  • Oracle Database 11g Release 1, version 11.1.0.7 ;
  • Oracle Database 11g Release 2, version 11.2.0.1 ;
  • Oracle Document Capture, versions 10.1.3.4, 10.1.3.5 ;
  • Oracle E-Business Suite Release 11i, version 11.5.10.2 ;
  • Oracle E-Business Suite Release 12, versions 12.0.4, 12.0.5, 12.0.6, 12.1.1, 12.1.2, 12.1.3 ;
  • Oracle Enterprise Manager Real User Experience Insight, version RUEI 6.0 ;
  • Oracle Enterprise Manager Suite Release 10, version 10.2.0.5 ;
  • Oracle Fusion Middleware, 11g Release 1, versions 11.1.1.2.0, 11.1.1.3.0 ;
  • Oracle GoldenGate Veridata, version 3.0.0.4 ;
  • Oracle InForm Portal, versions 4.5, 4.6, 5.0 ;
  • Oracle JRockit versions, R27.6.7 et antérieures (JDK/JRE 1.4.2, 5, 6), R28.0.1 et antérieures (JDK/JRE 5, 6) ;
  • Oracle Open Office, version 3.2.1 and StarOffice/StarSuite, versions 7, 8.
  • Oracle Outside In Technology, version 8.3.0 ;
  • Oracle PeopleSoft Enterprise CRM, versions 8.9, 9.0, 9.1 ;
  • Oracle PeopleSoft Enterprise HRMS, versions 8.9, 9.0, 9.1 ;
  • Oracle PeopleSoft Enterprise PeopleTools, versions 8.49, 8.50, 8.51 ;
  • Oracle Secure Backup 10g Release 3, version 10.3.0.2 ;
  • Oracle Sun Product Suite ;
  • Oracle Transportation Manager, versions 5.5, 6.0, 6.1, 6.2 ;
  • Oracle WebLogic Server, versions 7.0.7, 8.1.6, 9.0, 9.1, 9.2.3, 10.0.2, 10.3.2, 10.3.3 ;

Résumé

De multiples vulnérabilités présentes dans les produits Oracle permettent à un utilisateur malveillant de contourner la politique de sécurité.

Description

De multiples vulnérabilités ont été corrigées dans les produits Oracle tels que Oracle Database, Oracle Application Server ou Oracle Open Office. Certaines de ces vulnérabilités peuvent être exploitées par un utilisateur malveillant distant pour contourner la politique de sécurité ou encore porter atteinte à l'intégrité et/ou la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 19 janvier 2011
    version initiale.