Risque
- Déni de service à distance ;
- atteinte à l'intégrité des données ;
- atteinte à la confidentialité des données ;
- élévation de privilèges.
Systèmes affectés
- Oracle Core RDBMS 10.2.0.3
- Oracle Core RDBMS 10.2.0.4
- Oracle Core RDBMS 10.2.0.5
- Oracle Core RDBMS 11.1.0.7
- Oracle Core RDBMS 11.2.0.2
- Oracle Core RDBMS 11.2.0.3
Résumé
De multiples vulnérabilités ont été corrigées dans Oracle Database Server. L'une d'entre elle permet à un attaquant de récupérer la clef de session et le sel d'un utilisateur. Cela donne des informations sur le hash et rend donc plus facile l'attaque par force brute pour déterminer le mot de passe.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Oracle cpuoct2012-1515893 du 16 octobre 2012 :
http://www.oracle.com/technetwork/topics/security/cpuoct2012-1515893.html
- Référence CVE CVE-2012-3137 :
https://www.cve.org/CVERecord?id=CVE-2012-3137
- Référence CVE CVE-2012-1751 :
https://www.cve.org/CVERecord?id=CVE-2012-1751
- Référence CVE CVE-2012-3132 :
https://www.cve.org/CVERecord?id=CVE-2012-3132
- Référence CVE CVE-2012-3151 :
https://www.cve.org/CVERecord?id=CVE-2012-3151
- Référence CVE CVE-2012-3146 :
https://www.cve.org/CVERecord?id=CVE-2012-3146