Vigil@nce : Oracle Database, multiples vulnérabilités d’avril 2009
avril 2009 par Vigil@nce
Plusieurs vulnérabilités sont corrigées dans le CPU d’avril 2009.
– Gravité : 2/4
– Conséquences : accès/droits utilisateur, lecture de données,
création/modification de données, déni de service du service
– Provenance : compte utilisateur
– Moyen d’attaque : 1 attaque
– Compétence de l’attaquant : technicien (2/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Nombre de vulnérabilités dans ce bulletin : 16
– Date création : 15/04/2009
– Date révision : 21/04/2009
PRODUITS CONCERNÉS
– Oracle Database
– Oracle Net Services
– Oracle SQL*Net
DESCRIPTION DE LA VULNÉRABILITÉ
Le CPU (Critical Patch Update) d’avril 2009 corrige plusieurs
vulnérabilités concernant Oracle Database. L’annonce de Oracle
contient un tableau détaillé, dont voici un résumé.
Un attaquant peut obtenir ou altérer des informations ou mener un
déni de service via une vulnérabilité de Resource Manager.
[grav:2/4 ; CVE-2009-0979]
Un attaquant peut obtenir ou altérer des informations ou mener un
déni de service via une vulnérabilité de Core RDBMS. [grav:2/4 ;
CVE-2009-0985]
Un attaquant peut obtenir ou altérer des informations ou mener un
déni de service via une vulnérabilité de Workspace Manager.
[grav:2/4 ; CVE-2009-0972]
Un attaquant peut injecter des données SQL dans la procédure
GRANT_TYPE_ACCESS du paquetage DBMS_AQADM_SYS de Advanced Queuing.
[grav:2/4 ; CVE-2009-0977]
Un attaquant peut injecter des données SQL dans la procédure
DEQ_EXEJOB du paquetage DBMS_AQIN de Advanced Queuing. [grav:2/4 ;
CVE-2009-0992]
Un attaquant peut obtenir ou altérer des informations via une
vulnérabilité de Database Vault. [grav:2/4 ; CVE-2009-0984]
Un attaquant peut altérer des informations ou mener un déni de
service via une vulnérabilité de SQLX Functions. [grav:2/4 ;
CVE-2009-0980]
Un attaquant peut obtenir ou altérer des informations via une
vulnérabilité de Workspace Manager. [grav:2/4 ; CVE-2009-0975]
Un attaquant peut obtenir ou altérer des informations via une
vulnérabilité de Workspace Manager. [grav:2/4 ; CVE-2009-0976]
Un attaquant peut obtenir ou altérer des informations via une
vulnérabilité de Workspace Manager. [grav:2/4 ; CVE-2009-0978]
Un attaquant peut obtenir ou altérer des informations ou mener un
déni de service via une vulnérabilité de Workspace Manager.
[grav:2/4 ; CVE-2009-0986]
Un attaquant peut mener un déni de service via une vulnérabilité
de Cluster Ready Services. [grav:2/4 ; CVE-2009-0973]
Un attaquant peut mener un déni de service via une vulnérabilité
de Listener. [grav:2/4 ; CVE-2009-0991]
Un attaquant peut obtenir les hash des mots de passe APEX .
[grav:2/4 ; CVE-2009-0981]
Un attaquant peut obtenir ou altérer des informations via une
vulnérabilité de Database Vault. [grav:2/4 ; CVE-2009-0997]
Un attaquant peut obtenir ou altérer des informations via une
vulnérabilité de Password Policy. [grav:2/4 ; CVE-2009-0988]
CARACTÉRISTIQUES
– Références : CPUapr2009, CVE-2009-0972, CVE-2009-0973,
CVE-2009-0975, CVE-2009-0976, CVE-2009-0977, CVE-2009-0978,
CVE-2009-0979, CVE-2009-0980, CVE-2009-0981, CVE-2009-0984,
CVE-2009-0985, CVE-2009-0986, CVE-2009-0988, CVE-2009-0991,
CVE-2009-0992, CVE-2009-0997, VIGILANCE-VUL-8635
– Url : http://vigilance.fr/vulnerabilite/Oracle-Database-multiples-vulnerabilites-d-avril-2009-8635