Vigil@nce : Oracle Database, multiples vulnérabilités de janvier 2010
janvier 2010 par Vigil@nce
Plusieurs vulnérabilités d’Oracle Database sont corrigées dans le
CPU de janvier 2010.
– Gravité : 2/4
– Conséquences : accès/droits privilégié, lecture de données,
création/modification de données, déni de service du service
– Provenance : compte utilisateur
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Nombre de vulnérabilités dans ce bulletin : 9
– Date création : 13/01/2010
PRODUITS CONCERNÉS
– Oracle Database
– Oracle SQL*Net
DESCRIPTION DE LA VULNÉRABILITÉ
Le CPU (Critical Patch Update) de janvier 2010 corrige plusieurs
vulnérabilités concernant Oracle Database. L’annonce de Oracle
contient un tableau détaillé, dont voici un résumé.
Un attaquant peut employer une vulnérabilité du Listener, afin
d’obtenir des informations, d’altérer des informations, ou de
mener un déni de service. [grav:2/4 ; BID-37728, CVE-2010-0071]
Un attaquant peut employer une vulnérabilité de Oracle OLAP, afin
d’obtenir des informations, d’altérer des informations, ou de
mener un déni de service. [grav:2/4 ; BID-37729, CVE-2009-3415]
Un attaquant peut employer une vulnérabilité de Application
Express Application Builder, afin d’obtenir des informations,
d’altérer des informations, ou de mener un déni de service.
[grav:2/4 ; CVE-2010-0076]
Un attaquant peut employer une vulnérabilité de Oracle Data Pump,
afin d’obtenir des informations ou d’altérer des informations.
[grav:2/4 ; BID-37743, CVE-2009-3411]
Un attaquant peut employer une vulnérabilité de Oracle Spatial,
afin d’obtenir des informations ou d’altérer des informations.
[grav:2/4 ; BID-37730, CVE-2009-3414]
Un attaquant peut employer une vulnérabilité de Logical Standby,
afin d’altérer des informations. [grav:2/4 ; BID-37740,
CVE-2009-1996]
Un attaquant peut employer une vulnérabilité de RDBMS, afin
d’obtenir des informations ou d’altérer des informations.
[grav:2/4 ; BID-37746, CVE-2009-3410]
Un attaquant peut employer une vulnérabilité de Oracle Spatial,
afin d’obtenir des informations ou d’altérer des informations.
[grav:2/4 ; BID-37738, CVE-2009-3413]
Un attaquant peut employer une vulnérabilité de Unzip, afin
d’obtenir des informations. [grav:1/4 ; BID-37731, CVE-2009-3412]
CARACTÉRISTIQUES
– Références : BID-37728, BID-37729, BID-37730, BID-37731,
BID-37738, BID-37740, BID-37743, BID-37746, cpujan2010,
CVE-2009-1996, CVE-2009-3410, CVE-2009-3411, CVE-2009-3412,
CVE-2009-3413, CVE-2009-3414, CVE-2009-3415, CVE-2010-0071,
CVE-2010-0076, VIGILANCE-VUL-9339
– Url : http://vigilance.fr/vulnerabilite/Oracle-Database-multiples-vulnerabilites-de-janvier-2010-9339