S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 19 janvier 2011
N° CERTA-2011-AVI-022
Affaire suivie par: CERT-FR
le 19 janvier 2011

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Oracle

Gestion du document

Référence CERTA-2011-AVI-022
Titre Multiples vulnérabilités dans les produits Oracle
Date de la première version 19 janvier 2011
Date de la dernière version 19 janvier 2011
Source(s) Bulletin de sécurité Oracle de janvier 2011
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité ;
  • atteinte à l'intégrité des données ;
  • atteinte à la confidentialité des données ;
  • élévation de privilèges.

Systèmes affectés

  • Oracle Database 11g Release 2, version 11.2.0.1 ;
  • Oracle Database 11g Release 1, version 11.1.0.7 ;
  • Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5 ;
  • Oracle Database 10g Release 1, version 10.1.0.5 ;
  • Oracle Audit Vault 10g Release 2, version 10.2.3.2 ;
  • Oracle Secure Backup 10g Release 3, version 10.3.0.2 ;
  • Oracle Fusion Middleware, 11g Release 1, versions 11.1.1.2.0, 11.1.1.3.0 ;
  • Oracle Application Server 10g Release 2, version 10.1.2.3.0 ;
  • Oracle Beehive, versions 2.0.1.0, 2.0.1.1, 2.0.1.2, 2.0.1.2.1, 2.0.1.3 ;
  • Oracle BI Publisher, versions 10.1.3.3.2, 10.1.3.4.0, 10.1.3.4.1, 11.1.1.3 ;
  • Oracle Document Capture, versions 10.1.3.4, 10.1.3.5 ;
  • Oracle GoldenGate Veridata, version 3.0.0.4 ;
  • Oracle JRockit versions, R27.6.7 et antérieures (JDK/JRE 1.4.2, 5, 6), R28.0.1 et antérieures (JDK/JRE 5, 6) ;
  • Oracle Outside In Technology, version 8.3.0 ;
  • Oracle WebLogic Server, versions 7.0.7, 8.1.6, 9.0, 9.1, 9.2.3, 10.0.2, 10.3.2, 10.3.3 ;
  • Oracle Enterprise Manager Suite Release 10, version 10.2.0.5 ;
  • Oracle Enterprise Manager Real User Experience Insight, version RUEI 6.0 ;
  • Oracle E-Business Suite Release 12, versions 12.0.4, 12.0.5, 12.0.6, 12.1.1, 12.1.2, 12.1.3 ;
  • Oracle E-Business Suite Release 11i, version 11.5.10.2 ;
  • Oracle Agile Core, versions 9.3.0.2, 9.3.1 ;
  • Oracle Transportation Manager, versions 5.5, 6.0, 6.1, 6.2 ;
  • Oracle PeopleSoft Enterprise CRM, versions 8.9, 9.0, 9.1 ;
  • Oracle PeopleSoft Enterprise HRMS, versions 8.9, 9.0, 9.1 ;
  • Oracle PeopleSoft Enterprise PeopleTools, versions 8.49, 8.50, 8.51 ;
  • Oracle Argus Safety, versions 5.0, 5.0.1, 5.0.2, 5.0.3 ;
  • Oracle InForm Portal, versions 4.5, 4.6, 5.0 ;
  • Oracle Sun Product Suite ;
  • Oracle Open Office, version 3.2.1 and StarOffice/StarSuite, versions 7, 8.

Résumé

De multiples vulnérabilités présentes dans les produits Oracle permettent à un utilisateur malveillant de contourner la politique de sécurité.

Description

De multiples vulnérabilités ont été corrigées dans les produits Oracle tels que Oracle Database, Oracle Application Server ou Oracle Open Office. Certaines de ces vulnérabilités peuvent être exploitées par un utilisateur malveillant distant pour contourner la politique de sécurité ou encore porter atteinte à l'intégrité et/ou la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 19 janvier 2011
    version initiale.