Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

HSC : multiples vulnérabilités dans les produits Oracle

janvier 2009 par HSC

Date : 14-01-2009

Criticité HSC : 4/5 - haute

Avis public : Oui

Exploitation : Indisponible

Source : Oracle

Objet : Oracle

Description :

20 vulnérabilités ont été corrigées dans le CPU de janvier. Ces corrections sont réparties de la sorte :
- 10 sont des vulnérabilités touchant la base de donnée Oracle, 2 concernent la partie cliente ;
- 9 vulnérabilités sont relatives au produit Oracle Secure Backup ;
- 1 vulnérabilité touche le produit Oracle TimesTen Data.

D’après Oracle, les vulnérabilités présentes dans les bases de données nécessitent une authentification pour être exploitées. En effet, les failles se situent dans des fonctions spécifiques SQL comme la création ou suppression de tables. L’attaque nécessite donc de pouvoir effectuer des requêtes légitimes (éventuellement par injection SQL).

Les vulnérabilités situées dans Oracle Secure Backup nécessitent également une authentification et sont présentes dans les protocoles natifs mais également dans les interfaces HTTP ou NDMP (Network Data Management Protocol).

Enfin, la dernière vulnérabilité touche le produit TimesTen Data et est exploitable sur le protocole HTTP sans authentification préalable.

Bien que rien ne soit précisé dans l’avis Oracle, il semblerait que l’exploitation de ces failles permette l’exécution de code arbitraire sous l’identité de l’application.

Référence :

- http://www.oracle.com/technology/deploy/security/critical-patch- updates/cpujan2009.html




Voir les articles précédents

    

Voir les articles suivants