 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 14 janvier 2009
No CERTA-2009-AVI-013 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités des
produits Oracle
Tableau 1: Gestion du document
| Référence |
CERTA-2009-AVI-013 |
| Titre |
Vulnérabilités des
produits Oracle |
| Date de la première
version |
14 janvier 2009 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité Oracle du 13 janvier
2009 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Déni de service à distance ;
- atteinte à l'intégrité des
données ;
- atteinte à la confidentialité des
données.
- Oracle Database 9i, 10g et 11g
;
- Client Oracle SQL*Plus ;
- Oracle Secure Backup version 10.x ;
- Oracle TimesTen In-Memory Database version 7.x ;
- Oracle Application Server 10g
;
- Oracle Collaboration Suite 10g ;
- Oracle E-business Suite 11i
et 12 ;
- Oracle Enterprise Manager Grid Control 10g ;
- Peoplesoft Enterprise HRMS ;
- JD Edwards Tools ;
- Oracle WebLogic Server, versions 7.x à 10. x
;
- Oracle WebLogic Portal, versions 8.x à 10. x.
Plusieurs vulnérabilités affectent les produits
Oracle. Elles permettent à un utilisateur malveillant de
porter atteinte à l'intégrité, à la
confidentialité ou à la disponibilité des
données.
- Huit vulnérabilités, exploitables à
distance après authentification, affectent les bases
de données (Oracle Database). Elles permettent de
porter atteinte à l'intégrité, à
la confidentialité ou à la disponibilité
des données ;
- deux vulnérabilités affectent les clients
SQL*Plus et permettent de porter atteinte à la
confidentialité des données ;
- neuf vulnérabilités, exploitables à
distance sans authentification, concernent Oracle Secure
Backup. Quatre d'entre elles ne permettent qu'un déni
de service. Les autres portent en plus atteinte à
l'intégrité et à la
confidentialité des données ;
- une vulnérabilité affecte la base de
données résidente en mémoire, Oracle
TimesTen In-Memory Database. Elle permet de porter atteinte
à l'intégrité, à la
confidentialité et à la disponibilité
des données ;
- quatre vulnérabilités, dont trois sont
exploitables sans authentification, affectent Oracle
Application Server. Elles permettent de porter atteinte
à la confidentialité ou à
l'intégrité des données. Trois d'entre
elles sont exploitables à distance ;
- une vulnérabilité de Oracle Collaboration
Suite permet, à distance, à un utilisateur
authentifié de lire indûment des données
;
- quatre vulnérabilités, dont une est
exploitable sans authentification, sont présentes dans
Oracle E-business Suite. Elles permettent de porter atteinte
à la confidentialité ou à
l'intégrité des données. Trois d'entre
elles sont exploitables à distance ;
- une vulnérabilité concerne Oracle
Enterprise Manager Grid Control. Elle permet à un
utilisateur authentifié d'accéder à
distance à des données ;
- cinq vulnérabilités sont présentes
dans PeopleSoft. Elles permettent à un utilisateur
authentifié de porter atteinte, à distance,
à l'intégrité, à la
confidentialité ou à la disponibilité
des données ;
- une vulnérabilité de JD Edwards Tools
permet à un utilisateur authentifié de lire
indûment des données, à distance ;
- quatre vulnérabilités, exploitables
à distance et sans authentification, affectent Oracle
WebLogic Server. Elles permettent de porter atteinte à
la confidentialité ou à
l'intégrité des données.
- une vulnérabilité, exploitable à
distance et sans authentification, affecte Oracle WebLogic
Portal. Elle permet de porter atteinte à la
confidentialité et à l'intégrité
des données.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 14 janvier 2009
- version initiale.
CERTA
2012-01-04
|
|
)
