Mises à jours critiques pour les produits Oracle

La Rédaction,

Le patch cumulatif corrige plusieurs failles qui pourraient être exploitées par un attaquant distant afin de compromettre un système vulnérable

Comme prévu, Oracle inaugure aujourd’hui son premier « Oracle Critical Patch Update », programme de mise à jour trimestriel. Les patchs mis à disposition corrigent plusieurs vulnérabilités qui pourraient être exploitées par un attaquant distant afin de compromettre un système vulnérable ou par un utilisateur local afin d’augmenter ses privilèges.

Quatre applications de l’éditeur sont concernées par ces mises à jour qualifiées de critiques: Oracle Database Server, Oracle Application Server, Oracle Collaboration Suite et Oracle E-Business Suite (voir encadré pour les versions impactées). Une série de failles touche la première application, elles résultent de plusieurs erreurs de types « Directory Traversal », « SQL Injection » et « Buffer overflow », ce qui pourrait être exploité par un utilisateur local afin d’augmenter ses privilèges. Oracle Application Server est de son côté victime de vulnérabilités qui pourraient permettre à un attaquant distant de compromettre un système vulnérable. Oracle Collaboration Suite est quant à lui victime d’une vulnérabilité présente au niveau de la manipulation de certaines images forgées, ce qui pourrait permettre l’exécution de commandes arbitraires distantes. Enfin, l’exploitation de la faille présente dans Oracle E-Business Suite pourrait permettre la compromission d’un système vulnérable. Plus d’infos: Ici Versions impactées

Oracle Database 10g Release 1, versions 10.1.0.2, 10.1.0.3 et 10.1.0.3.1 Oracle9i Database Server Release 2, versions 9.2.0.4, 9.2.0.5 et 9.2.0.6 Oracle9i Database Server Release 1, versions 9.0.1.4, 9.0.1.5 et 9.0.4 (9.0.1.5 FIPS) Oracle8i Database Server Release 3, version 8.1.7.4 Oracle8 Database Release 8.0.6, version 8.0.6.3 Oracle Application Server 10g Release 2 (10.1.2) Oracle Application Server 10g (9.0.4), versions 9.0.4.0 et 9.0.4.1 Oracle9i Application Server Release 2, versions 9.0.2.3 et 9.0.3.1 Oracle9i Application Server Release 1, version 1.0.2.2 Oracle Collaboration Suite Release 2, version 9.0.4.2 Oracle E-Business Suite and Applications Release 11i (11.5) Oracle E-Business Suite and Applications Release 11.0