– Date : 15 Avril 2009

– Plateforme : Oracle

– Programme : Oracle

– Gravité : Elevée

– Exploitation : Distante

– Dommages :

Manipulation de fichiers
Vol d’informations
Contournement de sécurité
Accès au système
Déni de service

– Description :

Oracle vient de publier un ensemble de correctifs qui corrige 43 vulnérabilités. Un pirate était en mesure de compromettre un système vulnérable, de manipuler des fichiers, d’accéder à des informations sensibles, de contourner les mesures de sécurité ou encore de causer un déni de service en exploitant ces failles.

16 correctifs concernent le moteur de la base de données Oracle. Il y avait notamment 2 failles exploitables à distance sans authentification permettant d’exécuter du code SQL.

12 correctifs concernent le service Oracle Application Server. Parmi ces derniers, 3 corrigent des vulnérabilités exploitables à distance sans authentification.

4 failles de sécurité affectaient Oracle PeopleSoft et JDEdwards Suite, 8 touchaient Oracle BEA et 3 autres vulnérabilités concernaient diverses applications Oracle. Parmi toutes ces failles de sécurité, plusieurs étaient exploitables à distance.

Compte tenu du nombre de vulnérabilités critiques, les éditeurs recommandent l’application des patchs le plus rapidement possible.

– Vulnérable :

* Oracle Database 11g, versions 11.1.0.6, 11.1.0.7
* Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4
* Oracle Database 10g, version 10.1.0.5
* Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV
* Oracle Application Server 10g Release 2 (10.1.2), version 10.1.2.3.0
* Oracle Outside In SDK HTML Export 8.2.2, 8.3.0
* Oracle XML Publisher 5.6.2, 10.1.3.2, 10.1.3.2.1
* Oracle BI Publisher versions 10.1.3.3.0 10.1.3.3.1, 10.1.3.3.2, 10.1.3.3.3, 10.1.3.4
* Oracle E-Business Suite Release 12, version 12.0.6
* Oracle E-Business Suite Release 11i, version 11.5.10.2
* PeopleSoft Enterprise PeopleTools version : 8.49
* PeopleSoft Enterprise HRMS versions : 8.9 et 9.0
* Oracle WebLogic Server 10.3
* Oracle WebLogic Server 9.0 GA, 9.1 GA, 9.2 à 9.2 MP3
* Oracle WebLogic Server 8.1 à 8.1 SP6
* Oracle WebLogic Server 7.0 à 7.0 SP7
* Oracle WebLogic Portal 8.1 à 8.1 SP6
* Oracle Data Service Integrator 10.3.0 et Oracle AquaLogic Data Services Platform (formerly BEA ALDSP) 3.2, 3.0.1, 3.0
* Oracle JRockit (formerly BEA JRockit) R27.6.2 et avant (JDK/JRE 6, 5, 1.4.2)

– Référence :

http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2009.html

– Référence CVE :

CVE-2009-0979 CVE-2009-0985 CVE-2009-0972 CVE-2009-0977

CVE-2009-0992 CVE-2009-0984 CVE-2009-0980 CVE-2009-0975

CVE-2009-0976 CVE-2009-0978 CVE-2009-0986 CVE-2009-0973

CVE-2009-0991 CVE-2009-0981 CVE-2009-0997 CVE-2009-0988

CVE-2009-0993 CVE-2009-0989 CVE-2009-0990 CVE-2009-1008

CVE-2009-1009 CVE-2009-1010 CVE-2009-1011 CVE-2009-0974

CVE-2009-0983 CVE-2009-0994 CVE-2009-0996 CVE-2009-1017

CVE-2009-0999 CVE-2009-0995 CVE-2009-1000 CVE-2009-1013

CVE-2009-1014 CVE-2009-0998 CVE-2009-0982 CVE-2009-1006

CVE-2009-1012 CVE-2009-1016 CVE-2009-1002 CVE-2009-1001

CVE-2009-1003 CVE-2009-1005 CVE-2009-1004

– Correction :

Nous vous recommandons d’appliquer les correctifs disponibles sur le lien fourni en référence.

– Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=1239782026