Avis de sécurité ZHFR-29
| Date de publication: | 24/01/2005 | |
Auteurs:
* Pete Finnigan
* Alexander Kornbrust, Red Database Security
* Stephen Kost, Integrigy
* David Litchfield, NGSSoftware
Impacts:
* Inconnu
* Manipulation de données
* Divulgation d'informations sensibles
* Elévation de privilèges
* Déni de Service
D'où: A distance
Risque: 
Elevé
Produits:
Multiples produits d'Oracle (www.oracle.com):
* Oracle Application Server 10g
* Oracle Applications 11i
* Oracle Collaboration Suite Release 2
* Oracle Database Server 10g
* Oracle E-Business Suite 11i
* Oracle8i Database
* Oracle9i Application Server
* Oracle9i Database Enterprise Edition
* Oracle9i Database Standard Edition
Versions affectées:
* Oracle Database 10g Release 1, versions 10.1.0.2, 10.1.0.3 et 10.1.0.3.1
* Oracle9i Database Server Release 2, versions 9.2.0.4, 9.2.0.5 et 9.2.0.6
* Oracle9i Database Server Release 1, versions 9.0.1.4, 9.0.1.5 et 9.0.4 (9.0.1.5 FIPS)
* Oracle8i Database Server Release 3, version 8.1.7.4
* Oracle8 Database Release 8.0.6, version 8.0.6.3
* Oracle Application Server 10g Release 2 (10.1.2)
* Oracle Application Server 10g (9.0.4), versions 9.0.4.0 et 9.0.4.1
* Oracle9i Application Server Release 2, versions 9.0.2.3 et 9.0.3.1
* Oracle9i Application Server Release 1, version 1.0.2.2
* Oracle Collaboration Suite Release 2, version 9.0.4.2
* Oracle E-Business Suite and Applications Release 11i (11.5)
* Oracle E-Business Suite and Applications Release 11.0
Détails:
De nombreuses vulnérabilités (23) ont été trouvées dans différents produits d'Oracle, certaines ayant un impact inconnu et d'autres pouvant être exploitées par des personnes malicieuses afin de divulguer des informations sensibles, élever leurs privilèges, conduire des attaques de types injections SQL/PL, manipuler des informations ou encore entrainer un déni de service.
1. Une erreur de limitation dans le composant Networking peut être exploitée par des utlisateurs malicieux de la base de données afin de faire crasher la base de données via une chaine de connexion spécialement conçue.Afin que la vulnérabilité soit exploitable, les permissions de création de liens de base de données sont requises.
2. Une erreur non spécifiée dans le composant LOB Access pourrait être exploitée afin de divulguer des informations sensibles.Des permissions de lecture sur l'objet Directory d'une base de données sont requises pour exploiter la vulnérabilité.
3. Une erreur non spécifiée dans le composant Spatial pourrait être exploitée afin de divulguer des informations, manipuler des données ou causer un déni de service.Afin que l'exploitation de la vulnérabilité soit possible, des permissions d'exécution sur le package mdsys.md2 sont requises.
4. Une erreur non spécifiée dans le composant UTL_FILE pourrait être exploitée afin de manipuler des informations.Afin que l'exploitation de la vulnérabilité soit possible, des permissions de lecture sur l'objet Directory d'une base de données sont requises.
5. Une erreur non spécifiée dans le composant Diagnostic pourrait être exploitée afin de divulguer des informations, manipuler des données ou causer un déni de service.6. Une erreur non spécifiée dans le composant XDB pourrait potentiellement être exploitée afin de divulguer ou manipuler des informations.Afin que l'exploitation de la vulnérabilité soit possible, des permissions d'exécution sur les packages xdb.dbms_xdb sont requises.
7-8. Deux erreurs non spécifiées dans le composant XDB pourraient être exploitées afin de divulguer ou manipuler des informations.Afin que l'exploitation de la vulnérabilité soit possible, des permissions d'exécution sur le package xdb.dbms_xdbz0 sont requises.
9. Une erreur non spécifiée dans le composant Dataguard pourrait potentiellement être exploitée afin de divulguer ou manipuler des informations.Afin que l'exploitation de la vulnérabilité soit possible, des permissions d'exécution sur le package exfsys.dbms_expfil sont requises.
10. Une erreur non spécifiée dans le composant Log Miner pourrait potentiellement être exploitée afin de divulguer ou manipuler des informations.Afin que l'exploitation de la vulnérabilité soit possible, des permissions d'exécution sur le package dbms_logmnr sont requises.
11. Une erreur non spécifiée dans le composant OLAP pourrait être exploitée afin de divulguer ou manipuler des informations.Afin que l'exploitation de la vulnérabilité soit possible, des permissions d'exécution sur le package olapsys sont requises.
12. Une erreur non spécifiée dans le composant Data Miner pourrait être exploitée afin de divulguer ou manipuler des informations.Afin que l'exploitation de la vulnérabilité soit possible, des permissions d'exécution sur le package dmsys.dmp_sys sont requises.
13. Une erreur non spécifiée dans le composant Advanced Queuing pourrait être exploitée afin de divulguer ou manipuler des informations.Afin que l'exploitation de la vulnérabilité soit possible, des permissions d'exécution sur le package dbms_transform_eximp sont requises.
14. Une erreur non spécifiée dans le composant Change Data Capture pourrait être exploitée afin de divulguer ou manipuler des informations.Afin que l'exploitation de la vulnérabilité soit possible, des permissions d'exécution sur le package dbms_cdc_dputil sont requises.
15. Une erreur non spécifiée dans le composant Change Data Capture pourrait être exploitée afin de divulguer ou manipuler des informations.Afin que l'exploitation de la vulnérabilité soit possible, des permissions d'exécution sur le package dbms_cdc_impdp sont requises.
16. Une erreur non spécifiée dans le composant Database Core pourrait être exploitée afin de divulguer ou manipuler des informations.17. Une erreur non spécifiée dans le composant OHS pourrait être exploitée afin de divulguer ou manipuler des informations.Afin que l'exploitation de la vulnérabilité soit possible, des permissions d'exécution sur le package owa_opt_lock sont requises.
18. Une erreur non spécifiée dans le composant Report Server pourrait être exploitée afin de divulguer ou manipuler des informations.19. Une erreur non spécifiée dans le composant Forms pourrait être exploitée afin de causer un déni de service.20. Une erreur non spécifiée dans le composant mod_plsql pourrait être exploitée afin de divulguer ou manipuler des informations.Afin que l'exploitation de la vulnérabilité soit possible, des permissions d'exécution sur le package owa_opt_lock sont requises.
21. Une erreur non spécifiée dans le composant Calendar pourrait être exploitée afin de divulguer des informations, manipuler des données, ou causer un déni de service en affichant une image malicieuse.22. Une erreur non spécifiée dans Oracle E-Business Suite pourrait être exploitée afin de divulguer ou manipuler des informations.Une session valide est requise afin d'exploiter la vulnérabilité.
23. Une erreur non spécifiée dans Oracle E-Business Suite pourrait potentiellement être exploitée afin de divulguer ou manipuler des informations.
Solution:
Appliquer les patchs disponibles:
http://metalink.oracle.com/metalink/plsql/showdoc?db=NOT&id=293953.1
Références:
http://secunia.com/advisories/13862/
http://otn.oracle.com/deploy/security/pdf/cpu-jan-2005_advisory.pdf Advisory original (Oracle)
http://www.nextgenss.com/advisories/oracle-02.txt Advisory original (NGSSoftware)
http://www.petefinnigan.com/directory_traversal.pdf Advisory original (Pete Finnigan)
http://www.red-database-security.com/content6.html Advisory original (Red Database Security)
CERTA-2005-AVI-025
En parler sur le forum...
S'inscrire à la liste de diffusion...
