Actu
Vigil@nce : Oracle AS, multiples vulnérabilités de juillet 2008
juillet 2008 par Vigil@nce
Plusieurs vulnérabilités sont corrigées dans le CPU de juillet
2008.
– Gravité : 3/4
– Conséquences : accès/droits privilégié, accès/droits utilisateur,
lecture de données, création/modification de données, effacement
de données, déni de service du service
– Provenance : client internet
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 16/07/2008
– Référence : VIGILANCE-VUL-7950
PRODUITS CONCERNÉS
– Oracle Application Server [versions confidentielles]
– Oracle Portal
DESCRIPTION
Le CPU (Critical Patch Update) de juillet 2008 corrige plusieurs
vulnérabilités concernant Oracle Application Server. L’annonce de
Oracle contient un tableau détaillé, dont voici un résumé.
Un attaquant (via HTTP et non authentifié) peut obtenir des
informations, altérer des informations ou mener un déni de service
via une vulnérabilité d’Oracle HTTP Server. [grav:3/4 ;
CVE-2007-1359]
Un attaquant (via HTTP et non authentifié) peut injecter une
requête SQL dans le paquetage WWV_RENDER_REPORT, afin d’obtenir ou
d’altérer des informations via Oracle Portal. [grav:3/4 ;
CVE-2008-2589]
Un attaquant (via HTTP et non authentifié) peut obtenir ou altérer
des informations via une vulnérabilité d’Oracle Portal. [grav:3/4 ;
CVE-2008-2594]
Un attaquant (via HTTP et non authentifié) peut obtenir ou altérer
des informations via une vulnérabilité d’Oracle Portal. [grav:3/4 ;
CVE-2008-2609]
Un attaquant (via LDAP et non authentifié) peut envoyer une
requête LDAP malformée afin de déréférencer un pointeur NULL, et
ainsi mener un déni de service dans Oracle Internet Directory.
[grav:2/4 ; CVE-2008-2595]
Un attaquant (via HTTP et non authentifié) peut altérer des
informations via une vulnérabilité de Hyperion BI Plus. [grav:3/4 ;
CVE-2008-2612]
Un attaquant (via HTTP et non authentifié) peut altérer des
informations via une vulnérabilité d’Oracle HTTP Server.
[grav:3/4 ; CVE-2008-2614]
Un attaquant (via HTTP et non authentifié) peut altérer des
informations via une vulnérabilité d’Oracle Portal. [grav:3/4 ;
CVE-2008-2583]
Un attaquant (via HTTP et non authentifié) peut altérer des
informations via une vulnérabilité d’Oracle Portal. [grav:3/4 ;
CVE-2008-2593]
CARACTÉRISTIQUES
– Références : CVE-2007-1359, CVE-2008-2583, CVE-2008-2589,
CVE-2008-2593, CVE-2008-2594, CVE-2008-2595, CVE-2008-2609,
CVE-2008-2612, CVE-2008-2614, VIGILANCE-VUL-7950
– Url : https://vigilance.aql.fr/arbre/1/7950
