Actu
HSC : Multiples vulnérabilités dans les produits Oracle
avril 2009 par HSC
Date : 17-04-2009
Criticité HSC : 4/5 - haute
Avis public : Oui
Exploitation : Indisponible
Résumé : De multiples vulnérabilités ont été découvertes dans divers produits Oracle (Bases de données, Serveur d’application, PeopleSoft, WebLogic, etc.) pouvant conduire à des injections SQL, des divulgations d’informations sensibles ou à la compromission du système vulnérable.
Source : Oracle
gyObjet : Oracle
Description :
Oracle a corrigé de nombreuses vulnérabilités sur les produits suivants :
. Oracle Database 11g, version 11.1.0.6, 11.1.0.7
. Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4
. Oracle Database 10g, version 10.1.0.5
. Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV
. Oracle Outside In SDK HTML Export 8.2.2, 8.3.0
. Oracle XML Publisher 5.6.2, 10.1.3.2, 10.1.3.2.1
. Oracle BI Publisher 10.1.3.3.0 10.1.3.3.1, 10.1.3.3.2, 10.1.3.3.3,
10.1.3.4
. Oracle E-Business Suite Release 12, version 12.0.6
. Oracle E-Business Suite Release 11i, version 11.5.10.2
. PeopleSoft Enterprise PeopleTools versions : 8.49
. PeopleSoft Enterprise HRMS versions : 8.9 et 9.0
. Oracle WebLogic Server 10.3
. Oracle WebLogic Server 9.0 GA, 9.1 GA, 9.2 à 9.2 MP3
. Oracle WebLogic Server 8.1 à 8.1 SP6
. Oracle WebLogic Server 7.0 à 7.0 SP7
. Oracle WebLogic Portal 8.1 à 8.1 SP6
. Oracle Data Service Integrator 10.3.0 et Oracle AquaLogic Data
Services Platform (BEA ALDSP) 3.2, 3.0.1, 3.0
. Oracle JRockit (BEA JRockit) R27.6.2 et précédents (JDK/JRE 6, 5,
1.4.2)
Des détails techniques sur quatre vulnérabilités ont été publiés par des
sociétés tierces ayant reportées ces vulnérabilités :
– Une erreur de chaîne de format est présente dans le processus "Oracle
Process Manager and Notification" (opmn) écoutant sur un port TCP
supérieur à 6000/tcp lors de l’envoi d’une requête POST. L’exploitation
de cette vulnérabilité [1] permet l’exécution de code à distance.
- Les données envoyées au package "DBMS_AQIN" ne sont pas correctement
vérifiées avant leur utilisation et permettent de réaliser une injection
de code SQL [2].
- Une erreur dans le composant "Application Express" des bases de
données Oracle permet à un utilisateur non privilégié d’avoir
connaissance de l’empreinte du mot de passe APEX dans
FLOWS_030000.WWV_FLOW_USER.
– Les données envoyées au package "DBMS_AQADM_SYS" ne sont pas
correctement vérifiées avant leur utilisation et permettent de réaliser
une injection de code SQL [4].
Références :
– http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2009.html
– [1] http://www.zerodayinitiative.com/advisories/ZDI-09-017/
– [2] http://www.red-database-security.com/advisory/oracle_sql_injection_dbms_aqin.html
– [3] http://www.red-database-security.com/advisory/apex_password_hashes.html
– [4] http://www.red-database-security.com/advisory/oracle_sql_injection_dbms_aqadm_sys.html
Les ressources suivantes détaillent un peu plus les vulnérabilités
WebLogic :
– http://www.oracle.com/technology/deploy/security/beaarchive.html
– http://www.oracle.com/technology/deploy/security/wls-security/1002.html
– http://www.oracle.com/technology/deploy/security/wls-security/1003.html
– http://www.oracle.com/technology/deploy/security/wls-security/1004.html
– http://www.oracle.com/technology/deploy/security/wls-security/1005.html
– http://www.oracle.com/technolo/deploy/security/wls-security/1006.html
– http://www.oracle.com/technology/deploy/security/wls-security/1012.html
– http://www.oracle.com/technology/deploy/security/wls-security/1016.html
