S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 24 janvier 2005
N^o CERTA-2005-AVI-025

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Correctif de sécurité cumulatif pour les produits Oracle

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2005-AVI-025

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2005-AVI-025
Titre	Correctif de sécurité cumulatif pour les produits Oracle
Date de la première version	24 janvier 2005
Date de la dernière version	-
Source(s)
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution de code arbitraire à distance.

2 Systèmes affectés

Oracle Database 10g Release 1, versions 10.1.0.2, 10.1.0.3 et 10.1.0.3.1 ;
Oracle9i Database Server Release 2, versions 9.2.0.4, 9.2.0.5 et 9.2.0.6 ;
Oracle9i Database Server Release 1, versions 9.0.1.4, 9.0.1.5 et 9.0.4 ;
Oracle8i Database Server Release 3, version 8.1.7.4 ;
Oracle Application Server 10g Release 2 (10.1.2) ;
Oracle Application Server 10g (9.0.4), versions 9.0.4.0 et 9.0.4.1 ;
Oracle9i Application Server Release 2, versions 9.0.2.3 et 9.0.3.1 ;
Oracle9i Application Server Release 1, version 1.0.2.2 ;
Oracle Collaboration Suite Release 2, version 9.0.4.2 ;
Oracle E-Business Suite and Applications Release 11i (11.5) ;
Oracle E-Business Suite and Applications Release 11.0.

3 Résumé

Oracle diffuse un nouveau correctif de sécurité incluant l'alerte de sécurité 68 (cf avis CERTA-2004-AVI-284) mais y ajoutant la prise en compte de failles additionnelles affectant uniquement les serveurs.

4 Description

Une vingtaine de failles sont récensées dans l'avis de l'éditeur (tous produits confondus) et traitées par le correctif.

Les références CVE prises en compte dans la révision 3 de l'alerte 68 sont listées la section documentation.

5 Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

Oracle «Critical Critical Patch Update», révision 1 du 18 janvier 2005 :
```
http://www.oracle.com/technology/deploy/security/pdf/cpu-jan-2005_advisory.pdf
```

Alerte de sécurité #68 d'Oracle :

http://www.oracle.com/technology/deploy/security/pdf/2004alert68.pdf

Avis de sécurité CERTA-2004-AVI-284 :

http://www.certa.ssi.gouv.fr/site/CERTA-2004-AVI-284/index.html

Alerte de l'US-CERT du 1er septembre 2004 :

http://www.us-cert.gov/cas/techalerts/TA04-245A.html

Référence CVE CAN-2004-0637 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0637

Référence CVE CAN-2004-0638 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0638

Référence CVE CAN-2004-1338 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1338

Référence CVE CAN-2004-1339 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1339

Référence CVE CAN-2004-1362 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1362

Référence CVE CAN-2004-1363 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1363

Référence CVE CAN-2004-1364 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1364

Référence CVE CAN-2004-1366 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1366

Référence CVE CAN-2004-1367 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1367

Référence CVE CAN-2004-1368 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1368

Référence CVE CAN-2004-1369 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1369

Référence CVE CAN-2004-1370 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1370

Référence CVE CAN-2004-1371 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1371

Gestion détaillée du document

24 janvier 2005: version initiale.

CERTA
2012-01-04