S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 15 octobre 2002
N° CERTA-2002-AVI-225-001
Affaire suivie par: CERT-FR
le 15 octobre 2002

Avis du CERT-FR

Objet: Vulnérabilité dans Oracle Listener

Gestion du document

Référence CERTA-2002-AVI-225-001
Titre Vulnérabilité dans Oracle Listener
Date de la première version 15 octobre 2002
Date de la dernière version 16 octobre 2002
Source(s) Bulletin d'alerte 42 d'Oracle
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Déni de service.

Systèmes affectés

  • Oracle 9i Release 2 (9.2.x) ;
  • Oracle 9i Release 1 (9.0.x) ;
  • Oracle 8i (8.1.x).

Résumé

Une vulnérabilité a été découverte dans Oracle Net Services.

Description

Le service réseau Oracle Net Listener (port 1521/tcp par défaut) est le composant principal d'Oracle Net, l'application qui permet d'accèder à distance à une base de données Oracle.

Un utilisateur mal intentionné peut utiliser une requête malicieusement construite employant la commande
SERVICE_CURLOAD afin d'effectuer un déni de service sur Oracle NET Listener.

Solution

Appliquer le correctif correspondant à cette vulnérabilité, disponible sur le site d'Oracle :

http://metalink.oracle.com

Documentation

Bulletin de sécurité #42 d'Oracle :

http://otn.oracle.com/deploy/security/pdf/2002alert42rev1.pdf

Gestion détaillée du document

    le 15 octobre 2002
    version initiale.
    le 16 octobre 2002
    modification des systèmes affectés.