L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de SQLNet

vulnérabilité informatique CVE-2012-1737 CVE-2012-1745 CVE-2012-1746

Oracle Database : multiples vulnérabilités de juillet 2012

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Database sont corrigées dans le CPU de juillet 2012.
Produits concernés : Oracle DB, SQL*Net, SLES.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, déni de service du service.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 18/07/2012.
Références : BID-54496, BID-54501, BID-54507, BID-54518, BID-54569, CERTA-2012-AVI-393, cpujul2012, CVE-2012-1737, CVE-2012-1745, CVE-2012-1746, CVE-2012-1747, CVE-2012-3134, SUSE-SU-2012:1020-1, VIGILANCE-VUL-11775.

Description de la vulnérabilité

Un Critical Patch Update corrige plusieurs vulnérabilités concernant Oracle Database.

Un attaquant peut employer des injections SQL dans DB Performance Advisories/UIs, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-54569, CVE-2012-1737]

Un attaquant peut employer une vulnérabilité de Oracle NET, afin de mener un déni de service. [grav:2/4; BID-54501, CVE-2012-1745]

Un attaquant peut employer une vulnérabilité de Oracle NET, afin de mener un déni de service. [grav:2/4; BID-54507, CVE-2012-1746]

Un attaquant peut employer une vulnérabilité de Oracle NET, afin de mener un déni de service. [grav:2/4; BID-54518, CVE-2012-1747]

Un attaquant peut employer une vulnérabilité de Core RDBMS, afin de mener un déni de service. [grav:2/4; BID-54496, CVE-2012-3134]
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2012-0510 CVE-2012-0511 CVE-2012-0512

Oracle Database : multiples vulnérabilités d'avril 2012

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Database sont corrigées dans le CPU d'avril 2012.
Produits concernés : Oracle DB, SQL*Net, SLES.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 18/04/2012.
Références : BID-53063, BID-53072, BID-53076, BID-53081, BID-53084, BID-53089, BID-53090, BID-53092, BID-53093, BID-53097, BID-53101, BID-53104, CERTA-2012-AVI-220, cpuapr2012, CVE-2012-0510, CVE-2012-0511, CVE-2012-0512, CVE-2012-0519, CVE-2012-0520, CVE-2012-0525, CVE-2012-0526, CVE-2012-0527, CVE-2012-0528, CVE-2012-0534, CVE-2012-0552, CVE-2012-1708, SUSE-SU-2012:1020-1, VIGILANCE-VUL-11549.

Description de la vulnérabilité

Un Critical Patch Update corrige plusieurs vulnérabilités concernant Oracle Database.

Un attaquant peut employer une vulnérabilité de Oracle Spatial, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-53097, CVE-2012-0552]

Un attaquant peut employer une vulnérabilité de Core RDBMS, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-53072, CVE-2012-0519]

Un attaquant peut employer une vulnérabilité de Core RDBMS, afin d'altérer des informations, ou de mener un déni de service. [grav:2/4; BID-53090, CVE-2012-0510]

Un attaquant peut employer une vulnérabilité de OCI, afin d'obtenir ou d'altérer des informations. [grav:2/4; BID-53101, CVE-2012-0511]

Un attaquant peut employer une vulnérabilité de Enterprise Manager Base Platform, afin d'obtenir ou d'altérer des informations. [grav:2/4; BID-53089, CVE-2012-0528]

Un attaquant peut employer une vulnérabilité de Enterprise Manager Base Platform, afin d'obtenir ou d'altérer des informations. [grav:2/4; BID-53092, CVE-2012-0512]

Un attaquant peut employer une vulnérabilité de Enterprise Manager Base Platform, afin d'obtenir ou d'altérer des informations. [grav:2/4; BID-53063, CVE-2012-0525]

Un attaquant peut employer une vulnérabilité de Application Express, afin d'altérer des informations. [grav:2/4; BID-53104, CVE-2012-1708]

Un attaquant peut employer une vulnérabilité de Enterprise Manager Base Platform, afin d'altérer des informations. [grav:2/4; BID-53084, CVE-2012-0526]

Un attaquant peut employer une vulnérabilité de Enterprise Manager Base Platform, afin d'altérer des informations. [grav:2/4; BID-53093, CVE-2012-0527]

Un attaquant peut employer une vulnérabilité de Enterprise Manager Base Platform, afin d'altérer des informations. [grav:2/4; BID-53081, CVE-2012-0520]

Un attaquant peut employer une vulnérabilité de RDBMS Core, afin d'altérer des informations. [grav:2/4; BID-53076, CVE-2012-0534]
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2010-0892 CVE-2010-0900 CVE-2010-0901

Oracle Database : multiples vulnérabilités de juillet 2010

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Database sont corrigées dans le CPU de juillet 2010.
Produits concernés : Oracle DB, Oracle Net Services, SQL*Net.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/07/2010.
Références : BID-41621, BID-41624, BID-41635, BID-41639, BID-41643, cpujul2010, CVE-2010-0892, CVE-2010-0900, CVE-2010-0901, CVE-2010-0902, CVE-2010-0903, CVE-2010-0911, VIGILANCE-VUL-9759.

Description de la vulnérabilité

Le CPU (Critical Patch Update) de juillet corrige plusieurs vulnérabilités concernant Oracle Database. L'annonce de Oracle contient un tableau détaillé, dont voici un résumé.

Un attaquant peut employer une vulnérabilité du Listener, afin de mener un déni de service. [grav:3/4; BID-41624, CVE-2010-0911]

Un attaquant peut employer une vulnérabilité de Net Foundation Layer, afin de mener un déni de service. [grav:3/4; BID-41639, CVE-2010-0903]

Un attaquant peut employer une vulnérabilité de Oracle OLAP, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-41643, CVE-2010-0902]

Un attaquant peut employer une vulnérabilité de Application Express, afin d'altérer des informations. [grav:2/4; BID-41621, CVE-2010-0892]

Un attaquant peut employer une vulnérabilité de Network Layer, afin de mener un déni de service. [grav:1/4; CVE-2010-0900]

Un attaquant peut employer une vulnérabilité de Export, afin d'obtenir des informations. [grav:1/4; BID-41635, CVE-2010-0901]
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2009-1996 CVE-2009-3410 CVE-2009-3411

Oracle Database : multiples vulnérabilités de janvier 2010

Synthèse de la vulnérabilité

Plusieurs vulnérabilités d'Oracle Database sont corrigées dans le CPU de janvier 2010.
Produits concernés : Oracle DB, SQL*Net.
Gravité : 2/4.
Conséquences : accès/droits privilégié, lecture de données, création/modification de données, déni de service du service.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 13/01/2010.
Références : BID-37728, BID-37729, BID-37730, BID-37731, BID-37738, BID-37740, BID-37743, BID-37746, CERTA-2010-AVI-010, cpujan2010, CVE-2009-1996, CVE-2009-3410, CVE-2009-3411, CVE-2009-3412, CVE-2009-3413, CVE-2009-3414, CVE-2009-3415, CVE-2010-0071, CVE-2010-0076, VIGILANCE-VUL-9339.

Description de la vulnérabilité

Le CPU (Critical Patch Update) de janvier 2010 corrige plusieurs vulnérabilités concernant Oracle Database. L'annonce de Oracle contient un tableau détaillé, dont voici un résumé.

Un attaquant peut provoquer un buffer overflow dans la fonction nsglvcrt() du Listener, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; BID-37728, CVE-2010-0071]

Un attaquant peut employer une vulnérabilité de Oracle OLAP, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; BID-37729, CVE-2009-3415]

Un attaquant peut employer une vulnérabilité de Application Express Application Builder, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; CVE-2010-0076]

Un attaquant peut employer une vulnérabilité de Oracle Data Pump, afin d'obtenir des informations ou d'altérer des informations. [grav:2/4; BID-37743, CVE-2009-3411]

Un attaquant peut employer une vulnérabilité de Oracle Spatial, afin d'obtenir des informations ou d'altérer des informations. [grav:2/4; BID-37730, CVE-2009-3414]

Un attaquant peut employer une vulnérabilité de Logical Standby, afin d'altérer des informations. [grav:2/4; BID-37740, CERTA-2010-AVI-010, CVE-2009-1996]

Un attaquant peut employer une vulnérabilité de RDBMS, afin d'obtenir des informations ou d'altérer des informations. [grav:2/4; BID-37746, CVE-2009-3410]

Un attaquant peut employer une vulnérabilité de Oracle Spatial, afin d'obtenir des informations ou d'altérer des informations. [grav:2/4; BID-37738, CVE-2009-3413]

Un attaquant peut employer une vulnérabilité de Unzip, afin d'obtenir des informations. [grav:1/4; BID-37731, CVE-2009-3412]
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2009-1007 CVE-2009-1018 CVE-2009-1964

Oracle Database : multiples vulnérabilités d'octobre 2009

Synthèse de la vulnérabilité

Plusieurs vulnérabilités d'Oracle Database sont corrigées dans le CPU d'octobre 2009.
Produits concernés : Oracle DB, SQL*Net.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 21/10/2009.
Références : BID-36742, BID-36743, BID-36744, BID-36745, BID-36747, BID-36748, BID-36750, BID-36751, BID-36752, BID-36754, BID-36755, BID-36756, BID-36758, BID-36759, BID-36760, cpuoct2009, CVE-2009-1007, CVE-2009-1018, CVE-2009-1964, CVE-2009-1965, CVE-2009-1971, CVE-2009-1972, CVE-2009-1979, CVE-2009-1985, CVE-2009-1991, CVE-2009-1992, CVE-2009-1993, CVE-2009-1994, CVE-2009-1995, CVE-2009-1997, CVE-2009-2000, CVE-2009-2001, DSECRG-09-010, VIGILANCE-VUL-9104.

Description de la vulnérabilité

Le CPU (Critical Patch Update) d'octobre 2009 corrige plusieurs vulnérabilités concernant Oracle Database. L'annonce de Oracle contient un tableau détaillé, dont voici un résumé.

Un attaquant peut employer une vulnérabilité de Core RDBMS, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-36742, CVE-2009-1992]

Un attaquant peut employer une vulnérabilité de Network Authentication, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-36747, CVE-2009-1979]

Un attaquant peut employer une vulnérabilité de Network Authentication, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-36745, CVE-2009-1985]

Un attaquant peut employer une vulnérabilité de Data Mining, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; BID-36750, CVE-2009-1007]

Un attaquant peut employer une vulnérabilité de Oracle Spatial, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; BID-36744, CVE-2009-1994]

Un attaquant peut employer une vulnérabilité de PL/SQL, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-36743, CVE-2009-2001]

Un attaquant peut employer une vulnérabilité de Application Express, afin d'obtenir des informations, ou d'altérer des informations. [grav:2/4; BID-36759, CVE-2009-1993]

Un attaquant peut employer une vulnérabilité de Workspace Manager, afin d'obtenir des informations, ou d'altérer des informations. [grav:2/4; CVE-2009-1018]

Un attaquant peut employer une vulnérabilité de Workspace Manager, afin d'obtenir des informations, ou d'altérer des informations. [grav:2/4; BID-36755, CVE-2009-1964]

Un attaquant peut employer une vulnérabilité de Net Foundation Layer, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:2/4; BID-36760, CVE-2009-1965]

Un attaquant peut employer une vulnérabilité de Authentication, afin d'obtenir des informations. [grav:1/4; BID-36751, CVE-2009-1997]

Un attaquant peut employer une vulnérabilité de Authentication, afin d'obtenir des informations. [grav:1/4; BID-36756, CVE-2009-2000]

Un attaquant peut employer une vulnérabilité de Advanced Queuing, afin d'obtenir des informations, ou d'altérer des informations. [grav:2/4; BID-36752, CVE-2009-1995]

Un attaquant peut provoquer une injection SQL dans CTXSYS.DRVXTABC de Oracle Text, afin d'obtenir des informations, ou d'altérer des informations. [grav:2/4; BID-36748, CVE-2009-1991, DSECRG-09-010]

Un attaquant peut employer une vulnérabilité de Data Pump, afin d'altérer des informations. [grav:2/4; BID-36754, CVE-2009-1971]

Un attaquant peut employer une vulnérabilité de Auditing, afin d'altérer des informations. [grav:2/4; BID-36758, CVE-2009-1972]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2009-0987 CVE-2009-1015 CVE-2009-1019

Oracle Database : multiples vulnérabilités de juillet 2009

Synthèse de la vulnérabilité

Plusieurs vulnérabilités sont corrigées dans le CPU de juillet 2009.
Produits concernés : Oracle DB, Oracle Net Services, SQL*Net.
Gravité : 2/4.
Conséquences : accès/droits privilégié, lecture de données, création/modification de données, déni de service du service.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/07/2009.
Date révision : 27/07/2009.
Références : BID-35676, BID-35677, BID-35679, BID-35680, BID-35681, BID-35682, BID-35683, BID-35684, BID-35685, BID-35687, BID-35689, BID-35692, cpujul2009, CVE-2009-0987, CVE-2009-1015, CVE-2009-1019, CVE-2009-1020, CVE-2009-1021, CVE-2009-1963, CVE-2009-1966, CVE-2009-1967, CVE-2009-1968, CVE-2009-1969, CVE-2009-1970, CVE-2009-1973, DSECRG-09-025, VIGILANCE-VUL-8865.

Description de la vulnérabilité

Le CPU (Critical Patch Update) de juillet 2009 corrige plusieurs vulnérabilités concernant Oracle Database. L'annonce de Oracle contient un tableau détaillé, dont voici un résumé.

Un attaquant peut envoyer un paquet TTIPFN afin d'écrire un zéro dans la mémoire du processus, pour obtenir ou altérer des informations ou mener un déni de service via une vulnérabilité de Network Foundation. [grav:2/4; BID-35684, CVE-2009-1020]

Un attaquant peut envoyer des paquets NSPTCN pour obtenir ou altérer des informations ou mener un déni de service via une vulnérabilité de Network Authentication. [grav:2/4; BID-35680, CVE-2009-1019]

Un attaquant peut employer un paquet TTIPFN afin d'altérer des informations ou mener un déni de service via une vulnérabilité de Network Foundation. [grav:1/4; BID-35677, CVE-2009-1963]

Un attaquant peut obtenir ou altérer des informations via une vulnérabilité de REPCAT_RPC.VALIDATE_REMOTE_RC de Advanced Replication. [grav:2/4; BID-35685, CVE-2009-1021]

Un attaquant peut obtenir ou altérer des informations via une injection SQL de Config Management (Oracle Enterprise Manager). [grav:2/4; BID-35676, CVE-2009-1966]

Un attaquant peut obtenir ou altérer des informations via une injection SQL de Config Management (Oracle Enterprise Manager). [grav:2/4; BID-35692, CVE-2009-1967]

Un attaquant peut obtenir ou altérer des informations via une vulnérabilité de Upgrade. [grav:2/4; BID-35679, CVE-2009-0987]

Un attaquant peut obtenir ou altérer des informations via une vulnérabilité de Virtual Private Database. [grav:2/4; BID-35687, CVE-2009-1973]

Un attaquant peut envoyer une commande TNS de manière répétitive, afin de mener un déni de service via une vulnérabilité de Listener. [grav:2/4; BID-35683, CVE-2009-1970]

Un attaquant peut provoquer un Cross Site Scripting dans la page /search/query/search de Secure Enterprise Search. [grav:2/4; BID-35681, CVE-2009-1968, DSECRG-09-025]

Un attaquant peut altérer des informations via une vulnérabilité de Core RDBMS. [grav:2/4; BID-35682, CVE-2009-1015]

Un attaquant peut obtenir des informations via une vulnérabilité de Auditing. [grav:1/4; BID-35689, CVE-2009-1969]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2009-0972 CVE-2009-0973 CVE-2009-0975

Oracle Database : multiples vulnérabilités d'avril 2009

Synthèse de la vulnérabilité

Plusieurs vulnérabilités sont corrigées dans le CPU d'avril 2009.
Produits concernés : Oracle DB, Oracle Net Services, SQL*Net.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, déni de service du service.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/04/2009.
Date révision : 21/04/2009.
Références : CERTA-2009-AVI-154, CPUapr2009, CVE-2009-0972, CVE-2009-0973, CVE-2009-0975, CVE-2009-0976, CVE-2009-0977, CVE-2009-0978, CVE-2009-0979, CVE-2009-0980, CVE-2009-0981, CVE-2009-0984, CVE-2009-0985, CVE-2009-0986, CVE-2009-0988, CVE-2009-0991, CVE-2009-0992, CVE-2009-0997, VIGILANCE-VUL-8635.

Description de la vulnérabilité

Le CPU (Critical Patch Update) d'avril 2009 corrige plusieurs vulnérabilités concernant Oracle Database. L'annonce de Oracle contient un tableau détaillé, dont voici un résumé.

Un attaquant peut provoquer un buffer overflow en utilisant un nom de "plan" trop long dans ALTER SYSTEM SET RESOURCE_MANAGER_PLAN ou dans SYS.DBMS_RESOURCE_MANAGER.SWITCH_PLAN (Resource Manager). [grav:2/4; CVE-2009-0979]

Un attaquant peut obtenir ou altérer des informations ou mener un déni de service via une vulnérabilité de Core RDBMS. [grav:2/4; CVE-2009-0985]

Un attaquant peut obtenir ou altérer des informations ou mener un déni de service via une vulnérabilité de Workspace Manager. [grav:2/4; CERTA-2009-AVI-154, CVE-2009-0972]

Un attaquant peut injecter des données SQL dans la procédure GRANT_TYPE_ACCESS du paquetage DBMS_AQADM_SYS de Advanced Queuing. [grav:2/4; CVE-2009-0977]

Un attaquant peut injecter des données SQL dans la procédure DEQ_EXEJOB du paquetage DBMS_AQIN de Advanced Queuing. [grav:2/4; CVE-2009-0992]

Un attaquant peut obtenir ou altérer des informations via une vulnérabilité de Database Vault. [grav:2/4; CVE-2009-0984]

Un attaquant peut altérer des informations ou mener un déni de service via une vulnérabilité de SQLX Functions. [grav:2/4; CVE-2009-0980]

Un attaquant peut obtenir ou altérer des informations via une vulnérabilité de Workspace Manager. [grav:2/4; CVE-2009-0975]

Un attaquant peut obtenir ou altérer des informations via une vulnérabilité de Workspace Manager. [grav:2/4; CVE-2009-0976]

Un attaquant peut obtenir ou altérer des informations via une injection SQL dans LT.ROLLBACKWORKSPACE de Workspace Manager. [grav:2/4; CVE-2009-0978]

Un attaquant peut obtenir ou altérer des informations ou mener un déni de service via une vulnérabilité de Workspace Manager. [grav:2/4; CVE-2009-0986]

Un attaquant peut mener un déni de service via une vulnérabilité de Cluster Ready Services. [grav:2/4; CVE-2009-0973]

Un attaquant peut mener un déni de service via une vulnérabilité de Listener. [grav:2/4; CVE-2009-0991]

Un attaquant peut obtenir les hash des mots de passe APEX . [grav:2/4; CVE-2009-0981]

Un attaquant peut obtenir ou altérer des informations via une vulnérabilité de Database Vault. [grav:2/4; CVE-2009-0997]

Un attaquant peut obtenir ou altérer des informations via une vulnérabilité de Password Policy. [grav:2/4; CVE-2009-0988]
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2008-3973 CVE-2008-3974 CVE-2008-3978

Oracle Database : multiples vulnérabilités de janvier 2009

Synthèse de la vulnérabilité

Plusieurs vulnérabilités sont corrigées dans le CPU de janvier 2009.
Produits concernés : Oracle DB, Oracle Net Services, SQL*Net.
Gravité : 2/4.
Conséquences : accès/droits privilégié, lecture de données, création/modification de données.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 14/01/2009.
Dates révisions : 15/01/2009, 04/02/2009.
Références : cpujan2009, CVE-2008-3973, CVE-2008-3974, CVE-2008-3978, CVE-2008-3979, CVE-2008-3997, CVE-2008-3999, CVE-2008-4015, CVE-2008-5436, CVE-2008-5437, CVE-2008-5439, NISR13012009, VIGILANCE-VUL-8386, ZDI-09-003, ZDI-09-004.

Description de la vulnérabilité

Le CPU (Critical Patch Update) de janvier 2009 corrige plusieurs vulnérabilités concernant Oracle Database. L'annonce de Oracle contient un tableau détaillé, dont voici un résumé.

Un attaquant (via Oracle Net, authentifié, avec le privilège EXECUTE sur DBMS_IJOB) peut obtenir ou altérer des informations via une vulnérabilité de Job Queue. [grav:2/4; CVE-2008-5437]

Un attaquant (via Oracle Net, authentifié, avec le privilège Create Session) peut altérer des informations ou mener un déni de service via une vulnérabilité de Oracle OLAP. [grav:2/4; CVE-2008-5436]

Un attaquant (via Oracle Net, authentifié, avec le privilège Create Session) peut obtenir ou altérer des informations via une vulnérabilité de Oracle Spatial. [grav:2/4; CVE-2008-3978]

Un attaquant (via Oracle Net, authentifié, avec le privilège Create Session) peut obtenir les privilèges de l'utilisateur MDSYS via MDSYS.SDO_TOPO_DROP_FTBL de Oracle Spatial. [grav:2/4; CVE-2008-3979, NISR13012009]

Un attaquant (via Oracle Net, authentifié, avec le privilège Execute sur SYS.DBMS_STREAMS_AUTH) peut obtenir ou altérer des informations via une vulnérabilité de Oracle Streams. [grav:2/4; CVE-2008-4015]

Un attaquant (via Oracle Net, authentifié, avec le privilège EXECUTE sur SYS.OLAPIMPL_T) peut provoquer un buffer overflow dans la procédure SYS.OLAPIMPL_T.ODCITABLESTART afin de mener un déni de service ou d'exécuter du code. [grav:2/4; CVE-2008-3974]

Un attaquant (via Oracle Net, authentifié, avec le privilège EXECUTE sur SYS.DBMS_XSOQ_ODBO) peut modifier un fichier via Summary Advisor (Oracle OLAP). [grav:2/4; CVE-2008-3997]

Un attaquant (via Oracle Net, authentifié, avec le privilège EXECUTE sur SYS.OLAPIMPL_T) peut mener un déni de service via une vulnérabilité de Oracle OLAP. [grav:2/4; CVE-2008-3999]

Un attaquant (local, authentifié) peut obtenir des informations via une vulnérabilité de SQL*Plus Windows GUI. [grav:2/4; CVE-2008-5439]

Un attaquant (local, authentifié) peut obtenir des informations via une vulnérabilité de SQL*Plus Windows GUI. [grav:1/4; CVE-2008-3973]

D'autres vulnérabilités concernent Oracle Secure Backup, Oracle Forms, Oracle EBusiness Suite et Oracle TimesTen. [grav:1/4; ZDI-09-003, ZDI-09-004]
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.