Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Oracle Database, multiples vulnérabilités de janvier 2009

janvier 2009 par Vigil@nce

SYNTHÈSE DE LA VULNÉRABILITÉ

Plusieurs vulnérabilités sont corrigées dans le CPU de janvier 2009.

Gravité : 2/4

Conséquences : accès/droits privilégié, lecture de données, création/modification de données

Provenance : shell utilisateur

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Nombre de vulnérabilités dans ce bulletin : 11

Date création : 14/01/2009

Date révision : 15/01/2009

PRODUITS CONCERNÉS
- Oracle Database
- Oracle Net Services
- Oracle SQL*Net

DESCRIPTION DE LA VULNÉRABILITÉ

Le CPU (Critical Patch Update) de janvier 2009 corrige plusieurs vulnérabilités concernant Oracle Database. L’annonce de Oracle contient un tableau détaillé, dont voici un résumé.

Un attaquant (via Oracle Net, authentifié, avec le privilège EXECUTE sur DBMS_IJOB) peut obtenir ou altérer des informations via une vulnérabilité de Job Queue. [grav:2/4 ; CVE-2008-5437]

Un attaquant (via Oracle Net, authentifié, avec le privilège Create Session) peut altérer des informations ou mener un déni de service via une vulnérabilité de Oracle OLAP. [grav:2/4 ; CVE-2008-5436]

Un attaquant (via Oracle Net, authentifié, avec le privilège Create Session) peut obtenir ou altérer des informations via une vulnérabilité de Oracle Spatial. [grav:2/4 ; CVE-2008-3978]

Un attaquant (via Oracle Net, authentifié, avec le privilège Create Session) peut obtenir les privilèges de l’utilisateur MDSYS via MDSYS.SDO_TOPO_DROP_FTBL de Oracle Spatial. [grav:2/4 ; CVE-2008-3979, NISR13012009]

Un attaquant (via Oracle Net, authentifié, avec le privilège Execute sur SYS.DBMS_STREAMS_AUTH) peut obtenir ou altérer des informations via une vulnérabilité de Oracle Streams. [grav:2/4 ; CVE-2008-4015]

Un attaquant (via Oracle Net, authentifié, avec le privilège EXECUTE sur SYS.OLAPIMPL_T) peut mener un déni de service via une vulnérabilité de Oracle OLAP. [grav:2/4 ; CVE-2008-3974]

Un attaquant (via Oracle Net, authentifié, avec le privilège EXECUTE sur SYS.DBMS_XSOQ_ODBO) peut modifier un fichier via Summary Advisor (Oracle OLAP). [grav:2/4 ; CVE-2008-3997]

Un attaquant (via Oracle Net, authentifié, avec le privilège EXECUTE sur SYS.OLAPIMPL_T) peut mener un déni de service via une vulnérabilité de Oracle OLAP. [grav:2/4 ; CVE-2008-3999]

Un attaquant (local, authentifié) peut obtenir des informations via une vulnérabilité de SQL*Plus Windows GUI. [grav:2/4 ; CVE-2008-5439]

Un attaquant (local, authentifié) peut obtenir des informations via une vulnérabilité de SQL*Plus Windows GUI. [grav:1/4 ; CVE-2008-3973]

D’autres vulnérabilités concernent Oracle Secure Backup et Oracle TimesTen. [grav:1/4 ; ZDI-09-003, ZDI-09-004]

CARACTÉRISTIQUES

Références : cpujan2009, CVE-2008-3973, CVE-2008-3974, CVE-2008-3978, CVE-2008-3979, CVE-2008-3997, CVE-2008-3999, CVE-2008-4015, CVE-2008-5436, CVE-2008-5437, CVE-2008-5439, NISR13012009, VIGILANCE-VUL-8386, ZDI-09-003, ZDI-09-004

http://vigilance.fr/vulnerabilite/Oracle-Database-multiples-vulnerabilites-de-janvier-2009-8386




Voir les articles précédents

    

Voir les articles suivants