L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Allround Automations PL/SQL Developer

bulletin de vulnérabilité CVE-2016-2346

PL/SQL Developer : Man-in-the-Middle

Synthèse de la vulnérabilité

Un attaquant peut se positionner en Man-in-the-Middle sur PL/SQL Developer, afin de modifier les mises à jour téléchargées.
Produits concernés : PL/SQL Developer.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, création/modification de données.
Provenance : serveur internet.
Date création : 26/04/2016.
Références : CVE-2016-2346, VIGILANCE-VUL-19463, VU#229047.

Description de la vulnérabilité

Le produit PL/SQL Developer télécharge ses mises à jour depuis internet.

Cependant, le protocole HTTP est utilisé sans TLS (https).

Un attaquant peut donc se positionner en Man-in-the-Middle sur PL/SQL Developer, afin de modifier les mises à jour téléchargées.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique 10969

PL/SQL Developer : élévation de privilèges

Synthèse de la vulnérabilité

Dans certains cas, PL/SQL Developer ne gère pas correctement un privilège Oracle, ce qui peut permettre à un attaquant d'obtenir ce privilège.
Produits concernés : PL/SQL Developer.
Gravité : 2/4.
Conséquences : accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 05/09/2011.
Références : BID-49467, VIGILANCE-VUL-10969.

Description de la vulnérabilité

Une base de données Oracle permet d'affecter des privilèges d'administration à un utilisateur :
 - Grant Any Object Privilege
 - Grant Any Role
 - Administer Resource Manager
 - etc.

Dans certains cas, PL/SQL Developer n'accorde pas ou ne révoque pas correctement le privilège Administer Resource Manager. Les détails technique ne sont pas connus.

Une application peut donc disposer de privilèges plus élevés que prévu, ce qui peut permettre à un attaquant d'obtenir ce privilège.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Allround Automations PL/SQL Developer :