SYNTHÈSE

Plusieurs vulnérabilités sont corrigées dans le CPU de juillet 2008.

Gravité : 2/4

Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service

Provenance : compte utilisateur

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 16/07/2008

Référence : VIGILANCE-VUL-7949

PRODUITS CONCERNÉS

 Hewlett-Packard OpenView
 Oracle Database [versions confidentielles]

DESCRIPTION

Le CPU (Critical Patch Update) de juillet 2008 corrige plusieurs vulnérabilités concernant Oracle Database. L’annonce de Oracle contient un tableau détaillé, dont voici un résumé.

Un attaquant (via Oracle Net, authentifié et avec le privilège execute sur SYS.DBMS_AQELM) peut provoquer un débordement afin d’obtenir des informations, altérer des informations ou mener un déni de service via une vulnérabilité d’Oracle Net Services. [grav:2/4 ; CVE-2008-2607]

Un attaquant (local, authentifié et membre du groupe oinstall) peut utiliser une vulnérabilité d’un programme suid root de Database Scheduler afin d’exécuter du code privilégié. [grav:2/4 ; CVE-2008-2613]

Un attaquant (via Oracle Net, authentifié et avec le privilège execute sur SYS.DBMS_DEFER_SYS) peut obtenir ou altérer des informations via une vulnérabilité d’Advanced Replication. [grav:2/4 ; CVE-2008-2592]

Un attaquant (via Oracle Net et authentifié) peut obtenir ou altérer des informations via une vulnérabilité d’Authentication. [grav:2/4 ; CVE-2008-2604]

Un attaquant (via Oracle Net, authentifié et avec le privilège Create Public Synonym) peut obtenir ou altérer des informations via une vulnérabilité d’Oracle Database Vault. [grav:2/4 ; CVE-2008-2591]

Un attaquant (via Oracle Net, authentifié et avec le privilège execute sur MDSYS.SDO_TOPO_MAP) peut obtenir ou altérer des informations via une vulnérabilité d’Oracle Spatial. [grav:2/4 ; CVE-2008-2600]

Un attaquant (via Oracle Net, authentifié et avec le rôle IMP_FULL_DATABASE) peut obtenir des informations, altérer des informations ou mener un déni de service via une vulnérabilité de Data Pump. [grav:2/4 ; CVE-2008-2602]

Un attaquant (via Oracle Net et authentifié) peut obtenir des informations via une vulnérabilité d’Authentication. [grav:1/4 ; CVE-2008-2605]

Un attaquant (via Oracle Net, authentifié et avec le privilège Create Table) peut mener un déni de service via une vulnérabilité de Core RDBMS. [grav:1/4 ; CVE-2008-2611]

Un attaquant (via Oracle Net, authentifié et avec le privilège Execute sur SYS.KUPF$FILE_INT) peut mener un déni de service via une vulnérabilité de Data Pump. [grav:1/4 ; CVE-2008-2608]

Un attaquant (via Oracle Net, authentifié et avec une session valide) peut altérer des informations via une vulnérabilité d’Instance Management. [grav:2/4 ; CVE-2008-2590]

Un attaquant (via Oracle Net, authentifié et avec une session valide) peut altérer des informations via une vulnérabilité de Resource Manager. [grav:2/4 ; CVE-2008-2603]

Un attaquant (via Oracle Net, authentifié et avec pouvant lire les fichiers trace) peut obtenir des informations via une vulnérabilité d’Advanced Replication. [grav:1/4 ; CVE-2008-2587]

CARACTÉRISTIQUES

Références : c00727143, CVE-2008-2587, CVE-2008-2590, CVE-2008-2591, CVE-2008-2592, CVE-2008-2600, CVE-2008-2602, CVE-2008-2603, CVE-2008-2604, CVE-2008-2605, CVE-2008-2607, CVE-2008-2608, CVE-2008-2611, CVE-2008-2613, ERR-2008-1666, HPSBMA02133, SSRT061201, VIGILANCE-VUL-7949.

https://vigilance.aql.fr/arbre/1/7949