HSC : Multiples vulnérabilités dans les produits Oracle
octobre 2008 par HSC
Date : 15-10-2008
Criticité HSC : 5/5 - extreme
Avis public : Oui
Exploitation : Disponible mais non publique
Résumé : De multiples vulnérabilités ont été corrigées dans différents produits Oracle dont certaines sont exploitables à distance sans authentification.
Source : Oracle
Objet : Oracle
Description :
Oracle a corrigé de multiples vulnérabilités dans ses différents
produits dont certaines sont exploitables à distance sans
authentification (cf. [1] pour la matrice d’impact de chaque
vulnérabilité)
Les catégories de produits impactées sont les suivantes :
- Oracle Database (15 vulnérabilités), score CVSS compris entre 4.0 et
6.5 ;
- Oracle Application Server (6 vulnérabilités), score CVSS compris entre
1.0 et 5.0 ;
- Oracle E-Business Suite et Applications (5 vulnérabilités), score CVSS
compris entre 3.5 et 5.0 ;
- Oracle PeopleSoft Enterprise et JD Edwards EnterpriseOne (5
vulnérabilités), score CVSS compris entre 3.2 et 6.4 ;
- BEA Product Suite (6 vulnérabilités), score CVSS compris entre 2.1 et
10.0 ;
Une vulnérabilité critique ayant un score CVSS maximum (10) a été
corrigée dans la suite de produits BEA [2], elle concerne le module
WebLogic pour le serveur Apache. Cette vulnérabilité, exploitable à
distance sans authentification, permet vraisemblablement la prise de
contrôle du serveur.
Référence :
- [1] http://www.oracle.com/technology/deploy/security/critical-patch-
updates/cpuoct2008.html
- [2]
https://support.bea.com/application_content/product_portlets/securityadv isories/2806.html