Date : 14-01-2009

Criticité HSC : 4/5 - haute

Avis public : Oui

Exploitation : Indisponible

Source : Oracle

Objet : Oracle

Description :

20 vulnérabilités ont été corrigées dans le CPU de janvier. Ces
corrections sont réparties de la sorte :
– 10 sont des vulnérabilités touchant la base de donnée Oracle, 2
concernent la partie cliente ;
– 9 vulnérabilités sont relatives au produit Oracle Secure Backup ;
– 1 vulnérabilité touche le produit Oracle TimesTen Data.

D’après Oracle, les vulnérabilités présentes dans les bases de données
nécessitent une authentification pour être exploitées. En effet, les
failles se situent dans des fonctions spécifiques SQL comme la création
ou suppression de tables. L’attaque nécessite donc de pouvoir effectuer
des requêtes légitimes (éventuellement par injection SQL).

Les vulnérabilités situées dans Oracle Secure Backup nécessitent
également une authentification et sont présentes dans les protocoles
natifs mais également dans les interfaces HTTP ou NDMP (Network Data
Management Protocol).

Enfin, la dernière vulnérabilité touche le produit TimesTen Data et est
exploitable sur le protocole HTTP sans authentification préalable.

Bien que rien ne soit précisé dans l’avis Oracle, il semblerait que
l’exploitation de ces failles permette l’exécution de code arbitraire
sous l’identité de l’application.

Référence :

– http://www.oracle.com/technology/deploy/security/critical-patch-
updates/cpujan2009.html