Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Oracle, multiples vulnérabilités

août 2008 par Vigil@nce

SYNTHÈSE

Plusieurs vulnérabilités des produits Oracle permettent à un attaquant de faire exécuter du code sur la machine de la victime.

Gravité : 3/4

Conséquences : accès/droits administrateur, lecture de données, création/modification de données

Provenance : shell utilisateur

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : moyenne (2/3)

Date création : 05/08/2008

Référence : VIGILANCE-VUL-7996

PRODUITS CONCERNÉS

- Oracle Application Server [versions confidentielles]
- Oracle Database [versions confidentielles]
- Oracle WebLogic Server [versions confidentielles]

DESCRIPTION

En exploitant une vulnérabilité d’un site web, un attaquant distant non authentifié peut prendre le contrôle de la base de données Oracle. [grav:3/4]

Un attaquant peut récupérer les cookies de sessions de l’administrateur via un XSS (cross-site scripting), et ainsi usurper son identité. [grav:2/4 ; CVE-2008-2603]

Un utilisateur disposant des droits d’exécution sur le paquetage SYS.DBMS_DEFER_SYS peut exécuter des commandes SQL avec les privilèges systèmes. [grav:2/4 ; CVE-2008-2592]

CARACTÉRISTIQUES

Références : CVE-2008-2592, CVE-2008-2603, VIGILANCE-VUL-7996

https://vigilance.aql.fr/arbre/1/7996




Voir les articles précédents

    

Voir les articles suivants