S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 15 juillet 2009
N° CERTA-2009-AVI-279
Affaire suivie par: CERT-FR
le 15 juillet 2009

Avis du CERT-FR

Objet: Multiples vulnérabilités dans des produits Oracle

Gestion du document

Référence CERTA-2009-AVI-279
Titre Multiples vulnérabilités dans des produits Oracle
Date de la première version 15 juillet 2009
Date de la dernière version 15 juillet 2009
Source(s) Bulletin de sécurité Oracle de juillet 2009
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • déni de service à distance.

Systèmes affectés

  • Oracle Database 11g, versions 11.1.0.6, 11.1.0.7 ;
  • Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4 ;
  • Oracle Database 10g, version 10.1.0.5 ;
  • Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV ;
  • Oracle Application Server 10g Release 2 (10.1.2), version 10.1.2.3.0 ;
  • Oracle Application Server 10g Release 3 (10.1.3), versions 10.1.3.3.0, 10.1.3.4.0 ;
  • Oracle Identity Management 10g, versions 10.1.4.0.1, 10.1.4.2.0, 10.1.4.3.0 ;
  • Oracle E-Business Suite Release 12, version 12.1 ;
  • Oracle E-Business Suite Release 12, version 12.0.6 ;
  • Oracle E-Business Suite Release 11i, version 11.5.10.2 ;
  • Oracle Enterprise Manager Database Control 11, versions 11.1.0.6, 11.1.0.7 ;
  • Oracle Enterprise Manager Grid Control 10g Release 4, version 10.2.0.4 ;
  • PeopleSoft Enterprise PeopleTools version 8.49 ;
  • PeopleSoft Enterprise HRMS versions 8.9 et 9.0 ;
  • Siebel Highly Interactive Client versions 7.5.3, 7.7.2, 7.8, 8.0, 8.1 ;
  • Oracle WebLogic Server 10.3, 10.0MP1 ;
  • Oracle WebLogic Server 9.0 GA, 9.1 GA, 9.2 à 9.2 MP3 ;
  • Oracle WebLogic Server 8.1 à 8.1 SP6 ;
  • Oracle WebLogic Server 7.0 à 7.0 SP7 ;
  • Oracle Complex Event Processing 10.3 et WebLogic Event Server 2.0 ;
  • Oracle JRockit R27.6.3 et les versions précédentes (JDK/JRE 6, 5, 1.4.2).

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Oracle. L'exploitation de ces vulnérabilités permet de réaliser diverses actions malveillantes, dont l'exécution de code arbitraire à distance.

Description

Un grand nombre de vulnérabilités a été découvert dans les produits Oracle. L'exploitation de ces vulnérabilités permet de réaliser diverses actions malveillantes, dont l'exécution de code arbitraire à distance pour certaines.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 15 juillet 2009
    version initiale.