Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Oracle Database, multiples vulnérabilités de juillet 2008

juillet 2008 par Vigil@nce

SYNTHÈSE

Plusieurs vulnérabilités sont corrigées dans le CPU de juillet
2008.

Gravité : 2/4

Conséquences : accès/droits administrateur, accès/droits
privilégié, accès/droits utilisateur, lecture de données,
création/modification de données, effacement de données, déni de
service du service

Provenance : compte utilisateur

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 16/07/2008

Référence : VIGILANCE-VUL-7949

PRODUITS CONCERNÉS

 Hewlett-Packard OpenView
 Oracle Database [versions confidentielles]

DESCRIPTION

Le CPU (Critical Patch Update) de juillet 2008 corrige plusieurs
vulnérabilités concernant Oracle Database. L’annonce de Oracle
contient un tableau détaillé, dont voici un résumé.

Un attaquant (via Oracle Net, authentifié et avec le privilège
execute sur SYS.DBMS_AQELM) peut provoquer un débordement afin d’obtenir des informations, altérer des informations ou mener un
déni de service via une vulnérabilité d’Oracle Net Services.
[grav:2/4 ; CVE-2008-2607]

Un attaquant (local, authentifié et membre du groupe oinstall)
peut utiliser une vulnérabilité d’un programme suid root de
Database Scheduler afin d’exécuter du code privilégié. [grav:2/4 ;
CVE-2008-2613]

Un attaquant (via Oracle Net, authentifié et avec le privilège
execute sur SYS.DBMS_DEFER_SYS) peut obtenir ou altérer des
informations via une vulnérabilité d’Advanced Replication.
[grav:2/4 ; CVE-2008-2592]

Un attaquant (via Oracle Net et authentifié) peut obtenir ou
altérer des informations via une vulnérabilité d’Authentication.
[grav:2/4 ; CVE-2008-2604]

Un attaquant (via Oracle Net, authentifié et avec le privilège
Create Public Synonym) peut obtenir ou altérer des informations
via une vulnérabilité d’Oracle Database Vault. [grav:2/4 ;
CVE-2008-2591]

Un attaquant (via Oracle Net, authentifié et avec le privilège
execute sur MDSYS.SDO_TOPO_MAP) peut obtenir ou altérer des
informations via une vulnérabilité d’Oracle Spatial. [grav:2/4 ;
CVE-2008-2600]

Un attaquant (via Oracle Net, authentifié et avec le rôle
IMP_FULL_DATABASE) peut obtenir des informations, altérer des
informations ou mener un déni de service via une vulnérabilité de
Data Pump. [grav:2/4 ; CVE-2008-2602]

Un attaquant (via Oracle Net et authentifié) peut obtenir des
informations via une vulnérabilité d’Authentication. [grav:1/4 ;
CVE-2008-2605]

Un attaquant (via Oracle Net, authentifié et avec le privilège
Create Table) peut mener un déni de service via une vulnérabilité
de Core RDBMS. [grav:1/4 ; CVE-2008-2611]

Un attaquant (via Oracle Net, authentifié et avec le privilège
Execute sur SYS.KUPF$FILE_INT) peut mener un déni de service via
une vulnérabilité de Data Pump. [grav:1/4 ; CVE-2008-2608]

Un attaquant (via Oracle Net, authentifié et avec une session
valide) peut altérer des informations via une vulnérabilité
d’Instance Management. [grav:2/4 ; CVE-2008-2590]

Un attaquant (via Oracle Net, authentifié et avec une session
valide) peut altérer des informations via une vulnérabilité de
Resource Manager. [grav:2/4 ; CVE-2008-2603]

Un attaquant (via Oracle Net, authentifié et avec pouvant lire les
fichiers trace) peut obtenir des informations via une
vulnérabilité d’Advanced Replication. [grav:1/4 ; CVE-2008-2587]

CARACTÉRISTIQUES

Références : c00727143, CVE-2008-2587, CVE-2008-2590,
CVE-2008-2591, CVE-2008-2592, CVE-2008-2600, CVE-2008-2602, CVE-2008-2603, CVE-2008-2604, CVE-2008-2605, CVE-2008-2607, CVE-2008-2608, CVE-2008-2611, CVE-2008-2613, ERR-2008-1666, HPSBMA02133, SSRT061201, VIGILANCE-VUL-7949.

https://vigilance.aql.fr/arbre/1/7949


Voir les articles précédents

    

Voir les articles suivants