HSC : multiples vulnérabilités dans les produits Oracle
janvier 2009 par HSC
Date : 14-01-2009
Criticité HSC : 4/5 - haute
Avis public : Oui
Exploitation : Indisponible
Source : Oracle
Objet : Oracle
Description :
20 vulnérabilités ont été corrigées dans le CPU de janvier. Ces
corrections sont réparties de la sorte :
– 10 sont des vulnérabilités touchant la base de donnée Oracle, 2
concernent la partie cliente ;
– 9 vulnérabilités sont relatives au produit Oracle Secure Backup ;
– 1 vulnérabilité touche le produit Oracle TimesTen Data.
D’après Oracle, les vulnérabilités présentes dans les bases de données
nécessitent une authentification pour être exploitées. En effet, les
failles se situent dans des fonctions spécifiques SQL comme la création
ou suppression de tables. L’attaque nécessite donc de pouvoir effectuer
des requêtes légitimes (éventuellement par injection SQL).
Les vulnérabilités situées dans Oracle Secure Backup nécessitent
également une authentification et sont présentes dans les protocoles
natifs mais également dans les interfaces HTTP ou NDMP (Network Data
Management Protocol).
Enfin, la dernière vulnérabilité touche le produit TimesTen Data et est
exploitable sur le protocole HTTP sans authentification préalable.
Bien que rien ne soit précisé dans l’avis Oracle, il semblerait que
l’exploitation de ces failles permette l’exécution de code arbitraire
sous l’identité de l’application.
Référence :
– http://www.oracle.com/technology/deploy/security/critical-patch-
updates/cpujan2009.html