CERT-XMCO : 78 correctifs attendus pour les produits Oracle (cpujan2012)
janvier 2012 par CERT-XMCO
* Oracle Critical Patch Update Pre-Release Announcement - January 2012
– Date : 13 Janvier 2012
– Plateforme : Toutes
– Programme : Oracle
– Gravité : Elevée
– Dommages :
Accès au système
Non déterminé
– Description :
Dans le cadre de son cycle de sécurité, Oracle vient d’annoncer la publication, mardi 17 janvier prochain, des correctifs du mois de janvier.
78 vulnérabilités seront corrigées la semaine prochaine. Parmi celles-ci :
– 2 vulnérabilités impactent les différents composants d’Oracle Database Server (Core RDBMS, Listener), dont 1 seraient exploitables sans authentification ;
– 11 failles de sécurité impactent les différents composants d’Oracle Fusion Middleware (Oracle Outside In Technology, Oracle Web Services Manager, Oracle WebCenter Content, Oracle WebLogic Server), dont 5 seraient exploitables sans authentification ;
– 3 failles de sécurité impactent les différents composants de la suite Oracle E-Business (Oracle Application Object Library, Oracle Forms), dont 1 seraient exploitables sans authentification ;
– 1 vulnérabilité affecte le composant Oracle Transportation Management d’Oracle Supply Chain ;
– 6 failles de sécurité affectent les différents composants de la suite Oracle PeopleSoft (PeopleSoft Enterprise CRM, PeopleSoft Enterprise HCM, PeopleSoft Enterprise PeoleTools) ;
– 8 vulnérabilités impactent le composant JD Edwards EnterpriseOne Tools de la suite Oracle JD Edwards, dont 1 serait exploitable sans authentification ;
– 17 failles de sécurité impactent les différents logiciels Sun (GlassFish Enterprise Server, Oracle Communications Unified, Oracle OpenSSO, Solaris), dont 6 seraient exploitables sans authentification ;
– 3 failles de sécurité impactent les différents composants de la suite Oracle Virtualization (Oracle VM VirtualBox, Virtual Desktop Infrastructure (VDI)) ;
– et enfin, 27 vulnérabilités impactent Oracle MySQL, dont 1 seraient exploitables sans authentification.
– Vulnérable :
* Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3
* Oracle Database 11g Release 1, version 11.1.0.7
* Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5
* Oracle Database 10g Release 1, version 10.1.0.5
* Oracle Fusion Middleware 11g Release 1, versions 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0
* Oracle Application Server 10g Release 3, version 10.1.3.5.0
* Oracle Outside In Technology, versions 8.3.5, 8.3.7
* Oracle WebLogic Server, versions 9.2.4, 10.0.2, 11gR1 (10.3.3, 10.3.4, 10.3.5)
* Oracle E-Business Suite Release 12, versions 12.1.2, 12.1.3
* Oracle E-Business Suite Release 11i, version 11.5.10.2
* Oracle Transportation Management, versions 5.5.06, 6.0, 6.1, 6.2
* Oracle PeopleSoft Enterprise CRM, version 8.9
* Oracle PeopleSoft Enterprise HCM, versions 8.9, 9.0, 9.1
* Oracle PeopleSoft Enterprise PeopleTools, version 8.52
* Oracle JDEdwards, version 8.98
* Oracle Sun Product Suite
* Oracle Sun Ray, version 5.3
* Oracle VM VirtualBox, version 4.1
* Oracle Virtual Desktop Infrastructure, version 3.2
* Oracle MySQL Server, versions 5.0, 5.1, 5.5, 5.6
– Référence :
http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html
– Correction :
Aucun correctif n’est actuellement disponible.
– Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0056