Avis du CERTA : Mutiples vulnérabilités des produits Oracle
février 2008 par CERT-FR
1 Risque
* de provoquer un déni de service à distance ;
* de porter atteinte à l’intégrité des données ;
* de porter atteinte à la confidentialité des données.
2 Systèmes affectés
* Oracle Database 9i, 10g et 11g ;
* Oracle Application Server 10g ;
* Oracle Collaboration Suite 10g ;
* Oracle E-business Suite Release 11i et 12 ;
* Oracle PeopleSoft Enterprise PeopleTools 8.x.
3 Description
Huit vulnérabilités affectent Oracle Database, dont sept sont exploitables à
distance, mais nécessitent une authentification. Leur exploitation permet de
porter atteinte à la disponibilité, à l’intégrité et à la confidentialité des
données.
Six vulnérabilités affectent Oracle Application Server, dont cinq sont
exploitables à distance sans authentification préalable. Leur exploitation
permet de porter atteinte à la disponibilité, à l’intégrité et à la
confidentialité des données.
Une vulnérabilité, exploitable sans authentification préalable, concerne Oracle
Collaboration Suite et permet de porter atteinte à la confidentialité et à
l’intégrité des données.
Sept vulnérabilités sont présentes dans Oracle E-business Suite, dont trois
sont exploitables à distance sans authentification préalable. Leur exploitation
permet de porter atteinte à la disponibilité, à l’intégrité et à la
confidentialité des données.
Quatre vulnérabilités affectent PeopleTools, dont une est exploitable à
distance sans authentification préalable. Leur exploitation permet de porter
atteinte à la disponibilité, à l’intégrité et à la confidentialité des données.
4 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
5 Documentation
* Bulletin de sécurité Oracle du 15 janvier 2008 :
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2008.html
* Référence CVE CVE-2007-4467 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4467
* Référence CVE CVE-2008-0339 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0339
* Référence CVE CVE-2008-0340 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0340
* Référence CVE CVE-2008-0341 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0341
* Référence CVE CVE-2008-0342 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0342
* Référence CVE CVE-2008-0343 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0343
* Référence CVE CVE-2008-0344 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0344
* Référence CVE CVE-2008-0345 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0345
* Référence CVE CVE-2008-0346 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0346
* Référence CVE CVE-2008-0347 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0347
* Référence CVE CVE-2008-0348 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0348
* Référence CVE CVE-2008-0349 :