Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Oracle Database, multiples vulnérabilités de juillet 2008

juillet 2008 par Vigil@nce

SYNTHÈSE

Plusieurs vulnérabilités sont corrigées dans le CPU de juillet 2008.

Gravité : 2/4

Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service

Provenance : compte utilisateur

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 16/07/2008

Référence : VIGILANCE-VUL-7949

PRODUITS CONCERNÉS

- Hewlett-Packard OpenView
- Oracle Database [versions confidentielles]

DESCRIPTION

Le CPU (Critical Patch Update) de juillet 2008 corrige plusieurs vulnérabilités concernant Oracle Database. L’annonce de Oracle contient un tableau détaillé, dont voici un résumé.

Un attaquant (via Oracle Net, authentifié et avec le privilège execute sur SYS.DBMS_AQELM) peut provoquer un débordement afin d’obtenir des informations, altérer des informations ou mener un déni de service via une vulnérabilité d’Oracle Net Services. [grav:2/4 ; CVE-2008-2607]

Un attaquant (local, authentifié et membre du groupe oinstall) peut utiliser une vulnérabilité d’un programme suid root de Database Scheduler afin d’exécuter du code privilégié. [grav:2/4 ; CVE-2008-2613]

Un attaquant (via Oracle Net, authentifié et avec le privilège execute sur SYS.DBMS_DEFER_SYS) peut obtenir ou altérer des informations via une vulnérabilité d’Advanced Replication. [grav:2/4 ; CVE-2008-2592]

Un attaquant (via Oracle Net et authentifié) peut obtenir ou altérer des informations via une vulnérabilité d’Authentication. [grav:2/4 ; CVE-2008-2604]

Un attaquant (via Oracle Net, authentifié et avec le privilège Create Public Synonym) peut obtenir ou altérer des informations via une vulnérabilité d’Oracle Database Vault. [grav:2/4 ; CVE-2008-2591]

Un attaquant (via Oracle Net, authentifié et avec le privilège execute sur MDSYS.SDO_TOPO_MAP) peut obtenir ou altérer des informations via une vulnérabilité d’Oracle Spatial. [grav:2/4 ; CVE-2008-2600]

Un attaquant (via Oracle Net, authentifié et avec le rôle IMP_FULL_DATABASE) peut obtenir des informations, altérer des informations ou mener un déni de service via une vulnérabilité de Data Pump. [grav:2/4 ; CVE-2008-2602]

Un attaquant (via Oracle Net et authentifié) peut obtenir des informations via une vulnérabilité d’Authentication. [grav:1/4 ; CVE-2008-2605]

Un attaquant (via Oracle Net, authentifié et avec le privilège Create Table) peut mener un déni de service via une vulnérabilité de Core RDBMS. [grav:1/4 ; CVE-2008-2611]

Un attaquant (via Oracle Net, authentifié et avec le privilège Execute sur SYS.KUPF$FILE_INT) peut mener un déni de service via une vulnérabilité de Data Pump. [grav:1/4 ; CVE-2008-2608]

Un attaquant (via Oracle Net, authentifié et avec une session valide) peut altérer des informations via une vulnérabilité d’Instance Management. [grav:2/4 ; CVE-2008-2590]

Un attaquant (via Oracle Net, authentifié et avec une session valide) peut altérer des informations via une vulnérabilité de Resource Manager. [grav:2/4 ; CVE-2008-2603]

Un attaquant (via Oracle Net, authentifié et avec pouvant lire les fichiers trace) peut obtenir des informations via une vulnérabilité d’Advanced Replication. [grav:1/4 ; CVE-2008-2587]

CARACTÉRISTIQUES

Références : c00727143, CVE-2008-2587, CVE-2008-2590, CVE-2008-2591, CVE-2008-2592, CVE-2008-2600, CVE-2008-2602, CVE-2008-2603, CVE-2008-2604, CVE-2008-2605, CVE-2008-2607, CVE-2008-2608, CVE-2008-2611, CVE-2008-2613, ERR-2008-1666, HPSBMA02133, SSRT061201, VIGILANCE-VUL-7949.

https://vigilance.aql.fr/arbre/1/7949




Voir les articles précédents

    

Voir les articles suivants