Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

HSC : Multiples vulnérabilités dans les produits Oracle

avril 2009 par HSC

Date : 17-04-2009

Criticité HSC : 4/5 - haute

Avis public : Oui

Exploitation : Indisponible

Résumé : De multiples vulnérabilités ont été découvertes dans divers produits Oracle (Bases de données, Serveur d’application, PeopleSoft, WebLogic, etc.) pouvant conduire à des injections SQL, des divulgations d’informations sensibles ou à la compromission du système vulnérable.

Source : Oracle

gyObjet : Oracle

Description :

Oracle a corrigé de nombreuses vulnérabilités sur les produits suivants :

. Oracle Database 11g, version 11.1.0.6, 11.1.0.7

. Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4

. Oracle Database 10g, version 10.1.0.5

. Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV

. Oracle Outside In SDK HTML Export 8.2.2, 8.3.0

. Oracle XML Publisher 5.6.2, 10.1.3.2, 10.1.3.2.1

. Oracle BI Publisher 10.1.3.3.0 10.1.3.3.1, 10.1.3.3.2, 10.1.3.3.3, 10.1.3.4

. Oracle E-Business Suite Release 12, version 12.0.6

. Oracle E-Business Suite Release 11i, version 11.5.10.2

. PeopleSoft Enterprise PeopleTools versions : 8.49

. PeopleSoft Enterprise HRMS versions : 8.9 et 9.0

. Oracle WebLogic Server 10.3

. Oracle WebLogic Server 9.0 GA, 9.1 GA, 9.2 à 9.2 MP3

. Oracle WebLogic Server 8.1 à 8.1 SP6

. Oracle WebLogic Server 7.0 à 7.0 SP7

. Oracle WebLogic Portal 8.1 à 8.1 SP6

. Oracle Data Service Integrator 10.3.0 et Oracle AquaLogic Data Services Platform (BEA ALDSP) 3.2, 3.0.1, 3.0

. Oracle JRockit (BEA JRockit) R27.6.2 et précédents (JDK/JRE 6, 5, 1.4.2)

Des détails techniques sur quatre vulnérabilités ont été publiés par des sociétés tierces ayant reportées ces vulnérabilités :

- Une erreur de chaîne de format est présente dans le processus "Oracle Process Manager and Notification" (opmn) écoutant sur un port TCP supérieur à 6000/tcp lors de l’envoi d’une requête POST. L’exploitation de cette vulnérabilité [1] permet l’exécution de code à distance.

- Les données envoyées au package "DBMS_AQIN" ne sont pas correctement vérifiées avant leur utilisation et permettent de réaliser une injection de code SQL [2].

- Une erreur dans le composant "Application Express" des bases de données Oracle permet à un utilisateur non privilégié d’avoir connaissance de l’empreinte du mot de passe APEX dans FLOWS_030000.WWV_FLOW_USER.

- Les données envoyées au package "DBMS_AQADM_SYS" ne sont pas correctement vérifiées avant leur utilisation et permettent de réaliser une injection de code SQL [4].

Références :

- http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2009.html

- [1] http://www.zerodayinitiative.com/advisories/ZDI-09-017/

- [2] http://www.red-database-security.com/advisory/oracle_sql_injection_dbms_aqin.html

- [3] http://www.red-database-security.com/advisory/apex_password_hashes.html

- [4] http://www.red-database-security.com/advisory/oracle_sql_injection_dbms_aqadm_sys.html

Les ressources suivantes détaillent un peu plus les vulnérabilités WebLogic :

- http://www.oracle.com/technology/deploy/security/beaarchive.html

- http://www.oracle.com/technology/deploy/security/wls-security/1002.html

- http://www.oracle.com/technology/deploy/security/wls-security/1003.html

- http://www.oracle.com/technology/deploy/security/wls-security/1004.html

- http://www.oracle.com/technology/deploy/security/wls-security/1005.html

- http://www.oracle.com/technolo/deploy/security/wls-security/1006.html
- http://www.oracle.com/technology/deploy/security/wls-security/1012.html

- http://www.oracle.com/technology/deploy/security/wls-security/1016.html




Voir les articles précédents

    

Voir les articles suivants