S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 29 janvier 2008
N^o CERTA-2008-AVI-029-001

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Mutiples vulnérabilités des produits Oracle

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-029

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2008-AVI-029-001
Titre	Mutiples vulnérabilités des produits Oracle
Date de la première version	18 janvier 2008
Date de la dernière version	29 janvier 2008
Source(s)	Bulletin Oracle du 15 janvier 2008
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

de provoquer un déni de service à distance ;
de porter atteinte à l'intégrité des données ;
de porter atteinte à la confidentialité des données.

2 Systèmes affectés

Oracle Database 9i, 10g et 11g ;
Oracle Application Server 10g ;
Oracle Collaboration Suite 10g ;
Oracle E-business Suite Release 11i et 12 ;
Oracle PeopleSoft Enterprise PeopleTools 8.x.

3 Description

Huit vulnérabilités affectent Oracle Database, dont sept sont exploitables à distance, mais nécessitent une authentification. Leur exploitation permet de porter atteinte à la disponibilité, à l'intégrité et à la confidentialité des données.

Six vulnérabilités affectent Oracle Application Server, dont cinq sont exploitables à distance sans authentification préalable. Leur exploitation permet de porter atteinte à la disponibilité, à l'intégrité et à la confidentialité des données.

Une vulnérabilité, exploitable sans authentification préalable, concerne Oracle Collaboration Suite et permet de porter atteinte à la confidentialité et à l'intégrité des données.

Sept vulnérabilités sont présentes dans Oracle E-business Suite, dont trois sont exploitables à distance sans authentification préalable. Leur exploitation permet de porter atteinte à la disponibilité, à l'intégrité et à la confidentialité des données.

Quatre vulnérabilités affectent PeopleTools, dont une est exploitable à distance sans authentification préalable. Leur exploitation permet de porter atteinte à la disponibilité, à l'intégrité et à la confidentialité des données.

4 Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

5 Documentation

Bulletin de sécurité Oracle du 15 janvier 2008 :

http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2008.html

Référence CVE CVE-2007-4467 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4467

Référence CVE CVE-2008-0339 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0339

Référence CVE CVE-2008-0340 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0340

Référence CVE CVE-2008-0341 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0341

Référence CVE CVE-2008-0342 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0342

Référence CVE CVE-2008-0343 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0343

Référence CVE CVE-2008-0344 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0344

Référence CVE CVE-2008-0345 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0345

Référence CVE CVE-2008-0346 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0346

Référence CVE CVE-2008-0347 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0347

Référence CVE CVE-2008-0348 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0348

Référence CVE CVE-2008-0349 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0349

Gestion détaillée du document

18 janvier 2008: version initiale.
29 janvier 2008: lien Oracle, systèmes affectés.

CERTA
2012-01-04