S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 27 juin 2002
N° CERTA-2002-AVI-137
Affaire suivie par: CERT-FR
le 27 juin 2002

Avis du CERT-FR

Objet: Vulnérabilité sur Oracle9iAS

Gestion du document

Référence CERTA-2002-AVI-137
Titre Vulnérabilité sur Oracle9iAS
Date de la première version 27 juin 2002
Date de la dernière version 27 juin 2002
Source(s) Avis de securité #36 Oracle
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • déni de service.

Systèmes affectés

Oracle9iAS version 9.0.2 et antérieures.

Résumé

Une vulnérabilité présente dans le serveur WEB apache intégré au gestionnaire de base de donnée Oracle9iAS permet à un utilisateur mal intentionné d'exécuter du code arbitraire ou d'effectuer un déni de service du système.

Description

Une vulnérabilité dans le traitement de certaines requêtes sur le serveur Web Apache permet à un utilisateur mal intentionné d'effectuer un déni de service ou d'exécuter du code arbitraire.

Pour plus d'information sur cette vulnérabilité voir l'avis de sécurité du CERTA (cf section documentation).

Solution

Appliquer le correctif numéro 2424256 disponible sur le site d'Oracle (cf section documentation).

Documentation

Gestion détaillée du document

    le 27 juin 2002
    version initiale.