S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 04 décembre 2001
N° CERTA-2001-AVI-158
Affaire suivie par: CERT-FR
le 04 décembre 2001

Avis du CERT-FR

Objet: Multiples vulnérabilités de l’agent dbsnmp du SGBD Oracle.

Gestion du document

Référence CERTA-2001-AVI-158
Titre Multiples vulnérabilités de l’agent dbsnmp du SGBD Oracle.
Date de la première version 04 décembre 2001
Date de la dernière version 04 décembre 2001
Source(s) Alerte de sécurité #23 d'Oracle.
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Elévation de privilèges.

Systèmes affectés

Oracle Database Server versions 8.1.7 et antérieures.

Le débordement de mémoire affecte aussi Oracle Database Server 9.0.1.

Résumé

De multiples vulnérabilités présentes dans dbsnmp (Oracle Intelligent Agent) permettent à un utilisateur mal intentionné d'obtenir les privilèges de l'administrateur root.

Description

dbsnmp (Oracle Intelligent Agent) est un processus permettant la gestion des travaux, le traitement des requêtes snmp, etc.

De multiples vulnérabilités présentes dans l'exécutable dbsnmp (débordement de mémoire, failles dans la gestion du chemin (path) des exécutables) permettent à un utilisateur mal intentionné d'obtenir les privilèges de l'administrateur root.

Solution

Appliquer les correctifs mentionnés dans le document 

http://otn.oracle.com/deploy/security/pdf/dbsnmp_patch_matrix.pdf

Documentation

Alerte de sécurité #23 d'Oracle: "Oracle Database Server dbsnmp vulnerabilities" 

http://otn.oracle.com/deploy/security/pdf/dbsmp_alert.pdf

Gestion détaillée du document

    le 04 décembre 2001
    version initiale.