Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Déni de service à distance
- Élévation de privilèges
Systèmes affectés
- Oracle Core RDBMS 10.2.0.3
- Oracle Core RDBMS 10.2.0.4
- Oracle Core RDBMS 10.2.0.5
- Oracle Core RDBMS 11.1.0.7
- Oracle Core RDBMS 11.2.0.2
- Oracle Core RDBMS 11.2.0.3
Résumé
De multiples vulnérabilités ont été corrigées dans Oracle Database Server. L'une d'entre elle permet à un attaquant de récupérer la clef de session et le sel d'un utilisateur. Cela donne des informations sur le hash et rend donc plus facile l'attaque par force brute pour déterminer le mot de passe.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Oracle cpuoct2012-1515893 du 16 octobre 2012 : http://www.oracle.com/technetwork/topics/security/cpuoct2012-1515893.html
- Référence CVE CVE-2012-1751 https://www.cve.org/CVERecord?id=CVE-2012-1751
- Référence CVE CVE-2012-3132 https://www.cve.org/CVERecord?id=CVE-2012-3132
- Référence CVE CVE-2012-3137 https://www.cve.org/CVERecord?id=CVE-2012-3137
- Référence CVE CVE-2012-3146 https://www.cve.org/CVERecord?id=CVE-2012-3146
- Référence CVE CVE-2012-3151 https://www.cve.org/CVERecord?id=CVE-2012-3151
