L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Oracle Portal

avis de vulnérabilité CVE-2015-3237 CVE-2015-7182 CVE-2016-1181

Oracle Fusion Middleware : vulnérabilités de juillet 2016

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Oracle Fusion Middleware.
Produits concernés : WebSphere AS Traditional, Oracle Directory Server, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Portal, Solaris, Oracle TopLink, WebLogic.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service, déni de service du client.
Provenance : compte utilisateur.
Nombre de vulnérabilités dans ce bulletin : 22.
Date création : 20/07/2016.
Références : 7014463, cpujul2016, cpuoct2018, CVE-2015-3237, CVE-2015-7182, CVE-2016-1181, CVE-2016-1548, CVE-2016-2107, CVE-2016-3432, CVE-2016-3433, CVE-2016-3445, CVE-2016-3446, CVE-2016-3474, CVE-2016-3482, CVE-2016-3487, CVE-2016-3499, CVE-2016-3502, CVE-2016-3504, CVE-2016-3510, CVE-2016-3544, CVE-2016-3564, CVE-2016-3586, CVE-2016-3607, CVE-2016-3608, CVE-2016-5019, CVE-2016-5477, VIGILANCE-VUL-20164, ZDI-16-441, ZDI-16-442, ZDI-16-443, ZDI-16-444.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Fusion Middleware.

Un attaquant peut employer une vulnérabilité via Oracle Directory Server Enterprise Edition, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2015-7182]

Un attaquant peut employer une vulnérabilité via Oracle GlassFish Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3607, ZDI-16-442]

Un attaquant peut employer une vulnérabilité via Oracle WebLogic Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3510, ZDI-16-443]

Un attaquant peut employer une vulnérabilité via Oracle WebLogic Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3586, ZDI-16-441]

Un attaquant peut employer une vulnérabilité via Oracle WebLogic Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3499, ZDI-16-444]

Un attaquant peut employer une vulnérabilité via Oracle JDeveloper, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3504, CVE-2016-5019]

Un attaquant peut employer une vulnérabilité via Oracle Business Intelligence Enterprise Edition, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3446]

Un attaquant peut employer une vulnérabilité via Oracle Portal, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-1181]

Un attaquant peut employer une vulnérabilité via Oracle TopLink, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3564]

Un attaquant peut employer une vulnérabilité via Oracle WebCenter Sites, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3487]

Un attaquant peut employer une vulnérabilité via Oracle Business Intelligence Enterprise Edition, afin d'obtenir ou d'altérer des informations. [grav:3/4; CVE-2016-3544]

Un attaquant peut employer une vulnérabilité via Oracle Exalogic Infrastructure, afin d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-1548]

Un attaquant peut employer une vulnérabilité via Oracle GlassFish Server, afin d'obtenir des informations, ou de mener un déni de service. [grav:2/4; CVE-2015-3237]

Un attaquant peut employer une vulnérabilité via Oracle WebCenter Sites, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; CVE-2016-3502]

Un attaquant peut employer une vulnérabilité via Oracle Access Manager, afin d'obtenir des informations. [grav:2/4; CVE-2016-2107]

Un attaquant peut employer une vulnérabilité via Oracle GlassFish Server, afin d'obtenir des informations. [grav:2/4; CVE-2016-3608]

Un attaquant peut employer une vulnérabilité via Oracle GlassFish Server, afin d'obtenir des informations. [grav:2/4; CVE-2016-5477]

Un attaquant peut employer une vulnérabilité via BI Publisher (formerly XML Publisher), afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2016-3432]

Un attaquant peut employer une vulnérabilité via Oracle Business Intelligence Enterprise Edition, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2016-3433]

Un attaquant peut employer une vulnérabilité via Oracle WebLogic Server, afin de mener un déni de service. [grav:2/4; CVE-2016-3445]

Un attaquant peut employer une vulnérabilité via BI Publisher (formerly XML Publisher), afin d'obtenir des informations. [grav:1/4; CVE-2016-3474]

Un attaquant peut employer une vulnérabilité via Oracle HTTP Server, afin d'obtenir des informations. [grav:1/4; CVE-2016-3482]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2007-0009 CVE-2007-1858 CVE-2012-3499

Oracle Fusion : multiples vulnérabilités de janvier 2014

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Fusion ont été annoncées en janvier 2014.
Produits concernés : Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Internet Directory, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Oracle Portal, Oracle Web Tier, Sun AS.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, déni de service du service, déni de service du client.
Provenance : compte utilisateur.
Nombre de vulnérabilités dans ce bulletin : 19.
Date création : 15/01/2014.
Références : BID-64815, BID-64819, BID-64822, BID-64827, BID-64829, BID-64830, BID-64835, BID-64838, BID-64842, CERTA-2014-AVI-022, cpujan2014, CVE-2007-0009, CVE-2007-1858, CVE-2012-3499, CVE-2012-3544, CVE-2012-4605, CVE-2013-1620, CVE-2013-1654, CVE-2013-1862, CVE-2013-4316, CVE-2013-5785, CVE-2013-5808, CVE-2013-5869, CVE-2013-5900, CVE-2013-5901, CVE-2014-0374, CVE-2014-0383, CVE-2014-0391, CVE-2014-0400, VIGILANCE-VUL-14089.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Fusion.

Un attaquant peut employer une vulnérabilité de Oracle WebCenter Sites, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2013-4316]

Un attaquant peut employer une vulnérabilité de Oracle Reports Developer, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-64819, CVE-2013-5785]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2007-0009]

Un attaquant peut employer une vulnérabilité de Oracle Internet Directory, afin d'obtenir des informations. [grav:3/4; BID-64822, CVE-2014-0400]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; CVE-2013-1862]

Un attaquant peut employer une vulnérabilité de Oracle Enterprise Data Quality, afin de mener un déni de service. [grav:2/4; CVE-2012-3544]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'altérer des informations. [grav:2/4; CVE-2013-1654]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'obtenir des informations. [grav:2/4; CVE-2012-4605]

Un attaquant peut employer une vulnérabilité de Oracle Identity Manager, afin d'obtenir des informations. [grav:2/4; BID-64829, CVE-2014-0391]

Un attaquant peut employer une vulnérabilité de Oracle WebCenter Portal, afin d'obtenir des informations. [grav:2/4; BID-64835, CVE-2013-5869]

Un attaquant peut employer une vulnérabilité de Oracle GlassFish Server, afin d'obtenir des informations. [grav:2/4; CVE-2013-1620]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'altérer des informations. [grav:2/4; CVE-2012-3499]

Un attaquant peut employer une vulnérabilité de Oracle Identity Manager, afin d'altérer des informations. [grav:2/4; BID-64838, CVE-2013-5900]

Un attaquant peut employer une vulnérabilité de Oracle Identity Manager, afin d'obtenir des informations. [grav:2/4; BID-64815, CVE-2013-5901]

Un attaquant peut employer une vulnérabilité de Oracle Portal, afin d'altérer des informations. [grav:2/4; BID-64830, CVE-2014-0374]

Un attaquant peut employer une vulnérabilité de Oracle Traffic Director, Oracle iPlanet Web Server et Oracle iPlanet Web Proxy Server, afin d'obtenir des informations. [grav:2/4; CVE-2013-1620]

Un attaquant peut employer une vulnérabilité de Oracle Identity Manager, afin d'obtenir des informations. [grav:2/4; BID-64842, CVE-2014-0383]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'obtenir des informations. [grav:1/4; CVE-2007-1858]

Un attaquant peut employer une vulnérabilité de Oracle iPlanet Web Proxy Server, afin d'obtenir des informations. [grav:1/4; BID-64827, CVE-2013-5808]
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2011-3389 CVE-2013-0169 CVE-2013-2172

Oracle Fusion Middleware : multiples vulnérabilités d'octobre 2013

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Fusion Middleware sont corrigées dans le CPU d'octobre 2013.
Produits concernés : Oracle AS, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle Portal, WebLogic.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 15.
Date création : 16/10/2013.
Références : BID-63041, BID-63043, BID-63049, BID-63052, BID-63054, BID-63058, BID-63066, BID-63069, BID-63074, CERTA-2013-AVI-575, cpuoct2013, CVE-2011-3389, CVE-2013-0169, CVE-2013-2172, CVE-2013-3827, CVE-2013-3828, CVE-2013-3831, CVE-2013-3833, CVE-2013-3836, CVE-2013-5773, CVE-2013-5798, CVE-2013-5813, CVE-2013-5815, CVE-2013-5816, RHSA-2013:1437-01, RHSA-2014:1369-01, VIGILANCE-VUL-13603, ZDI-13-249.

Description de la vulnérabilité

Un Critical Patch Update corrige plusieurs vulnérabilités concernant Oracle Fusion Middleware.

Un attaquant peut employer une vulnérabilité de Security, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-63041, CVE-2013-5815]

Un attaquant peut provoquer une injection SQL dans PORTAL_DEMO.ORG_CHART, afin de lire ou modifier des données. [grav:2/4; BID-63043, CVE-2013-3831]

Un attaquant peut employer une vulnérabilité de Content Server, afin d'obtenir ou d'altérer des informations. [grav:2/4; BID-63049, CVE-2013-5813]

Un attaquant peut employer une vulnérabilité de Java Server Faces, afin d'obtenir des informations. [grav:2/4; CVE-2013-3827]

Un attaquant peut employer une vulnérabilité de Metro, afin de mener un déni de service. [grav:2/4; BID-63054, CVE-2013-5816]

Un attaquant peut employer une vulnérabilité de Web Container, afin d'obtenir des informations. [grav:2/4; CVE-2013-3827]

Un attaquant peut traverser les répertoires dans Test Page BPEL Process Manager, afin de lire un fichier situé hors de la racine. [grav:2/4; BID-63058, CVE-2013-3828, ZDI-13-249]

Un attaquant peut employer une vulnérabilité de Web Container, afin d'obtenir des informations. [grav:2/4; BID-63052, CVE-2013-3827]

Un attaquant peut employer une vulnérabilité de Authentication Engine, afin d'altérer des informations. [grav:2/4; CVE-2013-3833]

Un attaquant peut employer une vulnérabilité de Servlet Runtime, afin d'altérer des informations. [grav:2/4; BID-63066, CVE-2013-5773]

Un attaquant peut employer une vulnérabilité de Metro, afin d'altérer des informations. [grav:2/4; CVE-2013-2172]

Un attaquant peut employer une vulnérabilité de End User Self Service, afin d'altérer des informations. [grav:2/4; BID-63069, CVE-2013-5798]

Un attaquant peut employer une vulnérabilité de SSL/TLS, afin d'obtenir des informations (VIGILANCE-VUL-11014). [grav:2/4; CVE-2011-3389]

Un attaquant peut employer une vulnérabilité de ESI/Partial Page Caching, afin d'obtenir des informations. [grav:2/4; BID-63074, CVE-2013-3836]

Un attaquant peut employer une vulnérabilité de SSL/TLS, afin d'obtenir des informations (VIGILANCE-VUL-12374). [grav:1/4; CVE-2013-0169]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2011-3368 CVE-2011-3562 CVE-2011-4317

Oracle Fusion Middleware : multiples vulnérabilités de juillet 2012

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Fusion Middleware sont corrigées dans le CPU de juillet 2012.
Produits concernés : Oracle AS, Oracle Fusion Middleware, Oracle Identity Management, Oracle Portal.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, déni de service du service.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 8.
Date création : 18/07/2012.
Références : BID-54492, BID-54494, BID-54495, BID-54514, BID-54516, BID-54520, CERTA-2012-AVI-393, cpujul2012, CVE-2011-3368, CVE-2011-3562, CVE-2011-4317, CVE-2012-1736, CVE-2012-1741, CVE-2012-1749, CVE-2012-3115, CVE-2012-3135, VIGILANCE-VUL-11776.

Description de la vulnérabilité

Un Critical Patch Update corrige plusieurs vulnérabilités concernant Oracle Fusion Middleware.

Un attaquant peut employer une vulnérabilité de Oracle JRockit, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-54494, CVE-2012-3135]

Un attaquant peut employer une vulnérabilité de Enterprise Manager for Fusion Middleware, afin d'obtenir ou d'altérer des informations. [grav:2/4; BID-54492, CVE-2012-1741]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'obtenir des informations. [grav:2/4; CVE-2011-3368]

Un attaquant peut employer une vulnérabilité de Oracle MapViewer, afin d'obtenir des informations. [grav:2/4; BID-54514, CVE-2012-1736]

Un attaquant peut employer une vulnérabilité de Oracle MapViewer, afin d'obtenir des informations. [grav:2/4; BID-54516, CVE-2012-1749]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'altérer des informations. [grav:2/4; CVE-2011-4317]

Un attaquant peut employer une vulnérabilité de Oracle MapViewer, afin d'altérer des informations. [grav:2/4; BID-54520, CVE-2012-3115]

Un attaquant peut employer une vulnérabilité de Portal, afin d'altérer des informations. [grav:2/4; BID-54495, CVE-2011-3562]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2009-3555 CVE-2010-4452 CVE-2011-0785

Oracle Fusion Middleware : multiples vulnérabilités d'avril 2011

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Fusion Middleware sont corrigées dans le CPU d'avril 2011.
Produits concernés : DB2 UDB, Oracle AS, Oracle Fusion Middleware, Oracle Identity Management, Oracle OIT, Oracle Portal, WebLogic.
Gravité : 4/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 8.
Date création : 20/04/2011.
Références : 2010-007, BID-46388, BID-47435, BID-47437, BID-47443, BID-47463, BID-47475, BID-47489, CERTA-2009-AVI-528, CERTA-2010-AVI-149, CERTA-2010-AVI-196, CERTA-2010-AVI-239, CERTA-2010-AVI-241, CERTA-2010-AVI-365, CERTA-2010-AVI-513, CERTA-2010-AVI-573, CERTA-2011-AVI-253, CERTA-2011-AVI-492, CERTA-2011-AVI-603, CERTA-2012-AVI-241, cpuapr2011, CVE-2009-3555, CVE-2010-4452, CVE-2011-0785, CVE-2011-0789, CVE-2011-0794, CVE-2011-0795, CVE-2011-0798, CVE-2011-0808, DSECRG-12-018, VIGILANCE-VUL-10579, VU#120541, VU#520721, ZDI-11-084.

Description de la vulnérabilité

Un Critical Patch Update corrige plusieurs vulnérabilités concernant Oracle Fusion Middleware.

Un attaquant peut employer une vulnérabilité de Deployment Applet2ClassLoader, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-46388, CVE-2010-4452, ZDI-11-084]

Un attaquant distant peut exploiter une vulnérabilité de TLS pour insérer des données lors d'une renégociation via une attaque de type man-in-the-middle (VIGILANCE-VUL-9181). [grav:2/4; CERTA-2009-AVI-528, CERTA-2010-AVI-149, CERTA-2010-AVI-196, CERTA-2010-AVI-239, CERTA-2010-AVI-241, CERTA-2010-AVI-365, CERTA-2010-AVI-513, CERTA-2010-AVI-573, CERTA-2011-AVI-253, CERTA-2012-AVI-241, CVE-2009-3555, VU#120541]

Un attaquant peut employer une vulnérabilité de Oracle HTTP Server, afin d'altérer des informations. [grav:2/4; BID-47489, CVE-2011-0789]

Un attaquant peut provoquer un Cross Site Scripting dans Oracle Help help/topics/iastop_cs/iastop_cs_farm_page.html. [grav:2/4; BID-47443, CVE-2011-0785]

Un attaquant peut employer une vulnérabilité de Portal, afin d'altérer des informations. [grav:2/4; BID-47463, CVE-2011-0798]

Un attaquant peut employer une vulnérabilité de Single Sign On, afin d'altérer des informations. [grav:2/4; BID-47475, CVE-2011-0795]

Un attaquant peut employer une vulnérabilité de Oracle Outside In Technology, afin de mener un déni de service. [grav:1/4; BID-47435, CERTA-2011-AVI-492, CERTA-2011-AVI-603, CVE-2011-0794, VU#520721]

Un attaquant peut employer une vulnérabilité de Oracle Outside In Technology, afin de mener un déni de service. [grav:1/4; BID-47437, CVE-2011-0808, VU#520721]
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2010-0086 CVE-2010-0853 CVE-2010-0855

Oracle AS, Portal : multiples vulnérabilités d'avril 2010

Synthèse de la vulnérabilité

Plusieurs vulnérabilités d'Oracle Application Server et Portal sont corrigées dans le CPU d'avril 2010.
Produits concernés : Oracle AS, Oracle Portal.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, création/modification de données, effacement de données, déni de service du service.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 14/04/2010.
Références : BID-39418, BID-39433, BID-39437, BID-39442, BID-39443, cpuapr2010, CVE-2010-0086, CVE-2010-0853, CVE-2010-0855, CVE-2010-0856, CVE-2010-0872, VIGILANCE-VUL-9585.

Description de la vulnérabilité

Le CPU (Critical Patch Update) d'avril 2010 corrige plusieurs vulnérabilités concernant Oracle Application Server et Portal. L'annonce de Oracle contient un tableau détaillé, dont voici un résumé.

Un attaquant peut employer une vulnérabilité de Oracle Internet Directory, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-39418, CVE-2010-0853]

Un attaquant peut employer une vulnérabilité de Oracle Internet Directory, afin de mener un déni de service. [grav:2/4; BID-39443, CVE-2010-0872]

Un attaquant peut employer une vulnérabilité de Portal, afin de mener un déni de service. [grav:2/4; BID-39442, CVE-2010-0856]

Un attaquant peut employer une vulnérabilité de Portal, afin d'altérer des informations. [grav:2/4; BID-39433, CVE-2010-0086]

Un attaquant peut employer une vulnérabilité de Portal, afin d'altérer des informations. [grav:2/4; BID-39437, CVE-2010-0855]
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2009-1990 CVE-2009-1999 CVE-2009-3407

Oracle Application Server : multiples vulnérabilités d'octobre 2009

Synthèse de la vulnérabilité

Plusieurs vulnérabilités d'Oracle Application Server sont corrigées dans le CPU d'octobre 2009.
Produits concernés : Oracle AS, Oracle Portal.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 21/10/2009.
Références : BID-36753, cpuoct2009, CVE-2009-1990, CVE-2009-1999, CVE-2009-3407, VIGILANCE-VUL-9105.

Description de la vulnérabilité

Le CPU (Critical Patch Update) d'octobre 2009 corrige plusieurs vulnérabilités concernant Oracle Application Server. L'annonce de Oracle contient un tableau détaillé, dont voici un résumé.

Un attaquant peut employer une vulnérabilité de Business Intelligence Enterprise Edition, afin d'altérer des informations. [grav:3/4; CVE-2009-1999]

Un attaquant peut employer une vulnérabilité de Portal, afin d'altérer des informations. [grav:3/4; BID-36753, CVE-2009-3407]

Un attaquant peut employer une vulnérabilité de Business Intelligence Enterprise Edition, afin d'obtenir des informations. [grav:2/4; CVE-2009-1990]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2009-0974 CVE-2009-0983 CVE-2009-0989

Oracle Application Server : multiples vulnérabilités d'avril 2009

Synthèse de la vulnérabilité

Plusieurs vulnérabilités sont corrigées dans le CPU d'avril 2009.
Produits concernés : Oracle AS, Oracle Portal.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, déni de service du service.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 12.
Date création : 15/04/2009.
Références : CPUapr2009, CVE-2009-0974, CVE-2009-0983, CVE-2009-0989, CVE-2009-0990, CVE-2009-0993, CVE-2009-0994, CVE-2009-0996, CVE-2009-1008, CVE-2009-1009, CVE-2009-1010, CVE-2009-1011, CVE-2009-1017, VIGILANCE-VUL-8637, ZDI-09-017.

Description de la vulnérabilité

Le CPU (Critical Patch Update) d'avril 2009 corrige plusieurs vulnérabilités concernant Oracle Application Server. L'annonce de Oracle contient un tableau détaillé, dont voici un résumé.

Un attaquant peut obtenir ou altérer des informations ou mener un déni de service via une vulnérabilité de OPMN. [grav:3/4; CVE-2009-0993]

Un attaquant peut obtenir ou altérer des informations via une vulnérabilité de BI Publisher. [grav:3/4; CVE-2009-0989]

Un attaquant peut obtenir ou altérer des informations via une vulnérabilité de BI Publisher. [grav:3/4; CVE-2009-0990]

Un attaquant peut obtenir ou altérer des informations ou mener un déni de service via une vulnérabilité de Outside In Technology. [grav:3/4; CVE-2009-1008]

Un attaquant peut obtenir ou altérer des informations ou mener un déni de service via une vulnérabilité de Outside In Technology. [grav:3/4; CVE-2009-1009]

Un attaquant peut obtenir ou altérer des informations ou mener un déni de service via une vulnérabilité de Outside In Technology. [grav:3/4; CVE-2009-1010]

Un attaquant peut obtenir ou altérer des informations ou mener un déni de service via une vulnérabilité de Outside In Technology. [grav:3/4; CVE-2009-1011]

Un attaquant peut altérer des informations via une vulnérabilité de Portal. [grav:3/4; CVE-2009-0974]

Un attaquant peut altérer des informations via une vulnérabilité de Portal. [grav:3/4; CVE-2009-0983]

Un attaquant peut obtenir des informations via une vulnérabilité de BI Publisher. [grav:2/4; CVE-2009-0994]

Un attaquant peut obtenir des informations via une vulnérabilité de BI Publisher. [grav:2/4; CVE-2009-0996]

Un attaquant peut obtenir des informations via une vulnérabilité de BI Publisher. [grav:2/4; CVE-2009-1017]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2008-2623 CVE-2008-4014 CVE-2008-4017

Oracle AS : multiples vulnérabilités de janvier 2009

Synthèse de la vulnérabilité

Plusieurs vulnérabilités sont corrigées dans le CPU de janvier 2009.
Produits concernés : Oracle AS, Oracle Portal.
Gravité : 3/4.
Conséquences : lecture de données, création/modification de données.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 14/01/2009.
Date révision : 15/01/2009.
Références : CERTA-2009-AVI-013, cpujan2009, CVE-2008-2623, CVE-2008-4014, CVE-2008-4017, CVE-2008-5438, DSECRG-09-001, VIGILANCE-VUL-8387.

Description de la vulnérabilité

Le CPU (Critical Patch Update) de janvier 2009 corrige plusieurs vulnérabilités concernant Oracle Application Server. L'annonce de Oracle contient un tableau détaillé, dont voici un résumé.

Un attaquant (via LDAP, non authentifié) peut obtenir des informations via une vulnérabilité de OC4J. [grav:3/4; CVE-2008-4017]

Un attaquant peut employer l'url BPELConsole/default/activities.jsp pour mener un Cross Site Scripting de Oracle BPEL Process Manager. [grav:2/4; CVE-2008-4014, DSECRG-09-001]

Un attaquant (via HTTP, non authentifié) peut mener un Cross Site Scripting dans Oracle Portal. [grav:3/4; CVE-2008-5438]

Un attaquant (local, non authentifié) peut obtenir des informations via une vulnérabilité de Oracle JDeveloper. [grav:2/4; CERTA-2009-AVI-013, CVE-2008-2623]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2008-2588 CVE-2008-2619 CVE-2008-3975

Oracle AS : multiples vulnérabilités d'octobre 2008

Synthèse de la vulnérabilité

Plusieurs vulnérabilités sont corrigées dans le CPU d'octobre 2008.
Produits concernés : Oracle AS, Oracle Portal.
Gravité : 3/4.
Conséquences : accès/droits privilégié, lecture de données, création/modification de données.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 6.
Date création : 15/10/2008.
Références : CERTA-2008-AVI-508, CPUOct2008, CVE-2008-2588, CVE-2008-2619, CVE-2008-3975, CVE-2008-3977, CVE-2008-3986, CVE-2008-3987, VIGILANCE-VUL-8179.

Description de la vulnérabilité

Le CPU (Critical Patch Update) d'octobre 2008 corrige plusieurs vulnérabilités concernant Oracle Application Server. L'annonce de Oracle contient un tableau détaillé, dont voici un résumé.

Un attaquant (via HTTP et non authentifié) peut altérer des informations via une vulnérabilité d'Oracle Portal. [grav:3/4; CVE-2008-3975]

Un attaquant (via HTTP et non authentifié) peut altérer des informations via une vulnérabilité d'Oracle Portal. [grav:3/4; CVE-2008-3977]

Un attaquant (via HTTP et authentifié) peut mener un déni de service via une vulnérabilité d'Oracle Reports Developer. [grav:2/4; CVE-2008-2619]

Un attaquant (local et non authentifié) peut obtenir des informations via une vulnérabilité d'Oracle JDeveloper. [grav:2/4; CERTA-2008-AVI-508, CVE-2008-2588]

Un attaquant (local et authentifié) peut obtenir des informations via une vulnérabilité d'Oracle Discoverer Administrator. [grav:1/4; CVE-2008-3986]

Un attaquant (local et authentifié) peut obtenir des informations via une vulnérabilité d'Oracle Discoverer Desktop. [grav:1/4; CVE-2008-3987]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Oracle Portal :