Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Produits Oracle : Vulnérabilités Diverses

16/04/2008 14H19
Référence Secunia : SA29829 
Date de publication : 2008-04-16

Risque : Elevé. Niveau 4 sur 5.
Impact : Inconnu, Contournement de la Sécurité, Manipulation de données, DoS, Accès au système
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Oracle Application Server 10g
Oracle Collaboration Suite 10.x
Oracle Database 10.x
Oracle Database 11.x
Oracle E-Business Suite 11i
Oracle E-Business Suite 12.x
Oracle JInitiator 1.x
Oracle PeopleSoft Entreprise Human Capital Management 8.x
Oracle PeopleSoft Entreprise Human Capital Management 9.x
Oracle PeopleSoft Entreprise Tools 8.x
Oracle Siebel SimBuilder 7.x
Oracle9i Database Entreprise Edition
Oracle9i Database Standard Edition


Description :
Plusieurs vulnérabilités ont été rapportées pour différents produits Oracle. Quelques vulnérabilités ont des impacts inconnus pendant que d'autres pourraient être exploitées par des utilisateurs malicieux pour passer outre certaines restrictions de sécurité, conduire des attaques par injection SQL, causer un Déni de Service (DoS), ou potentiellement compromettre un système vulnérable.

1) L'entrée passée via des paramètres non-spécifiés à the SDO_GEOM, SDO_IDX, et SDO_UTIL packages n'est pas correctement filtrée avant d'être utilisée dans des requêtes SQL. Cela pourrait être exploité pour manipuler les interrogations SQL en injectant du code SQL arbitraire.

2) Le problème est que le DBMS_STATS_INTERNAL package resets the OUTLN mot de passe à une valeur par défaut et accorde DBA privileges à l'utilisateur OUTLN pendant la création d'une vue matérialisée.

The vulnérabilités restantes sont causées du fait d'erreurs non-spécifiées. Aucune autre information n'est actuellement disponible.

Les vulnérabilités sont rapportées dans les produits et versions suivants:
* Oracle Database 11g, version 11.1.0.6
* Oracle Database 10g Release 2, versions 10.2.0.2, 10.2.0.3
* Oracle Database 10g, version 10.1.0.5
* Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV
* Oracle Application Server 10g Release 3 (10.1.3), versions 10.1.3.1.0, 10.1.3.3.0
* Oracle Application Server 10g Release 2 (10.1.2), versions 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
* Oracle Application Server 10g (9.0.4), version 9.0.4.3
* Oracle Collaboration Suite 10g, version 10.1.2
* Oracle E-Business Suite Release 12, version 12.0.4
* Oracle E-Business Suite Release 11i, version 11.5.10.2
* Oracle PeopleSoft Entreprise PeopleTools versions 8.22.19, 8.48.16, 8.49.09
* Oracle PeopleSoft Entreprise HCM versions 8.8 SP1, 8.9, 9.0
* Oracle Siebel SimBuilder versions 7.8.2, 7.8.5


Solutions :
Appliquer les correctifs (voir le bulletin de l'éditeur).


Vulnérabilité découverte par :

L'éditeur crédite:
* Cesar Cerrudo of Argeniss
* Esteban Martinez Fayo of Application Security, Inc.
* Joxean Koret
* Alexander Kornbrust of Red Database Security
* Stephen Kost of Integrigy
* Ali Kumcu of inTellectPro
* Amichai Shulman of Imperva, Inc.
* Sumit Siddharth of Portcullis Computer Security Limited
* Paul M. Wright

Référence :
Oracle:
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2008.html

Red Database Security:
http://www.red-database-security.com/advisory/oracle_sql_injection_sdo_geom.html
http://www.red-database-security.com/advisory/oracle_sql_injection_sdo_idx.html
http://www.red-database-security.com/advisory/oracle_sql_injection_sdo_util.html
http://www.red-database-security.com/advisory/oracle_outln_password_change.html




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.