Vigil@nce : Oracle, multiples vulnérabilités
août 2008 par Vigil@nce
SYNTHÈSE
Plusieurs vulnérabilités des produits Oracle permettent à un
attaquant de faire exécuter du code sur la machine de la victime.
Gravité : 3/4
Conséquences : accès/droits administrateur, lecture de données,
création/modification de données
Provenance : shell utilisateur
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : moyenne (2/3)
Date création : 05/08/2008
Référence : VIGILANCE-VUL-7996
PRODUITS CONCERNÉS
– Oracle Application Server [versions confidentielles]
– Oracle Database [versions confidentielles]
– Oracle WebLogic Server [versions confidentielles]
DESCRIPTION
En exploitant une vulnérabilité d’un site web, un attaquant
distant non authentifié peut prendre le contrôle de la base de
données Oracle. [grav:3/4]
Un attaquant peut récupérer les cookies de sessions de
l’administrateur via un XSS (cross-site scripting), et ainsi
usurper son identité. [grav:2/4 ; CVE-2008-2603]
Un utilisateur disposant des droits d’exécution sur le paquetage
SYS.DBMS_DEFER_SYS peut exécuter des commandes SQL avec les
privilèges systèmes. [grav:2/4 ; CVE-2008-2592]
CARACTÉRISTIQUES
Références : CVE-2008-2592, CVE-2008-2603, VIGILANCE-VUL-7996