Vigil@nce : Oracle Database, multiples vulnérabilités de juillet 2008
juillet 2008 par Vigil@nce
SYNTHÈSE
Plusieurs vulnérabilités sont corrigées dans le CPU de juillet
2008.
Gravité : 2/4
Conséquences : accès/droits administrateur, accès/droits
privilégié, accès/droits utilisateur, lecture de données,
création/modification de données, effacement de données, déni de
service du service
Provenance : compte utilisateur
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 16/07/2008
Référence : VIGILANCE-VUL-7949
PRODUITS CONCERNÉS
– Hewlett-Packard OpenView
– Oracle Database [versions confidentielles]
DESCRIPTION
Le CPU (Critical Patch Update) de juillet 2008 corrige plusieurs
vulnérabilités concernant Oracle Database. L’annonce de Oracle
contient un tableau détaillé, dont voici un résumé.
Un attaquant (via Oracle Net, authentifié et avec le privilège
execute sur SYS.DBMS_AQELM) peut provoquer un débordement afin d’obtenir des informations, altérer des informations ou mener un
déni de service via une vulnérabilité d’Oracle Net Services.
[grav:2/4 ; CVE-2008-2607]
Un attaquant (local, authentifié et membre du groupe oinstall)
peut utiliser une vulnérabilité d’un programme suid root de
Database Scheduler afin d’exécuter du code privilégié. [grav:2/4 ;
CVE-2008-2613]
Un attaquant (via Oracle Net, authentifié et avec le privilège
execute sur SYS.DBMS_DEFER_SYS) peut obtenir ou altérer des
informations via une vulnérabilité d’Advanced Replication.
[grav:2/4 ; CVE-2008-2592]
Un attaquant (via Oracle Net et authentifié) peut obtenir ou
altérer des informations via une vulnérabilité d’Authentication.
[grav:2/4 ; CVE-2008-2604]
Un attaquant (via Oracle Net, authentifié et avec le privilège
Create Public Synonym) peut obtenir ou altérer des informations
via une vulnérabilité d’Oracle Database Vault. [grav:2/4 ;
CVE-2008-2591]
Un attaquant (via Oracle Net, authentifié et avec le privilège
execute sur MDSYS.SDO_TOPO_MAP) peut obtenir ou altérer des
informations via une vulnérabilité d’Oracle Spatial. [grav:2/4 ;
CVE-2008-2600]
Un attaquant (via Oracle Net, authentifié et avec le rôle
IMP_FULL_DATABASE) peut obtenir des informations, altérer des
informations ou mener un déni de service via une vulnérabilité de
Data Pump. [grav:2/4 ; CVE-2008-2602]
Un attaquant (via Oracle Net et authentifié) peut obtenir des
informations via une vulnérabilité d’Authentication. [grav:1/4 ;
CVE-2008-2605]
Un attaquant (via Oracle Net, authentifié et avec le privilège
Create Table) peut mener un déni de service via une vulnérabilité
de Core RDBMS. [grav:1/4 ; CVE-2008-2611]
Un attaquant (via Oracle Net, authentifié et avec le privilège
Execute sur SYS.KUPF$FILE_INT) peut mener un déni de service via
une vulnérabilité de Data Pump. [grav:1/4 ; CVE-2008-2608]
Un attaquant (via Oracle Net, authentifié et avec une session
valide) peut altérer des informations via une vulnérabilité
d’Instance Management. [grav:2/4 ; CVE-2008-2590]
Un attaquant (via Oracle Net, authentifié et avec une session
valide) peut altérer des informations via une vulnérabilité de
Resource Manager. [grav:2/4 ; CVE-2008-2603]
Un attaquant (via Oracle Net, authentifié et avec pouvant lire les
fichiers trace) peut obtenir des informations via une
vulnérabilité d’Advanced Replication. [grav:1/4 ; CVE-2008-2587]
CARACTÉRISTIQUES
Références : c00727143, CVE-2008-2587, CVE-2008-2590,
CVE-2008-2591, CVE-2008-2592, CVE-2008-2600, CVE-2008-2602, CVE-2008-2603, CVE-2008-2604, CVE-2008-2605, CVE-2008-2607, CVE-2008-2608, CVE-2008-2611, CVE-2008-2613, ERR-2008-1666, HPSBMA02133, SSRT061201, VIGILANCE-VUL-7949.