Plusieurs vulnérabilités ont été identifiées dans différents produits Oracle et BEA, elles pourraient être exploitées par des attaquants locaux ou distants afin de lire ou manipuler des données arbitraires, conduire des attaques par injection SQL, contourner les mesures de sécurité, obtenir des informations sensibles, causer un déni de service ou exécuter des commandes arbitraires.
Ces failles résultent d'erreurs présentes aux niveaux des modules Advanced Queuing, Database Scheduler, Advanced Replication, Authentication, Oracle Database Vault, Oracle Spatial, Data Pump, Core RDBMS, Instance Management, Resource Manager, TimesTen Client/Server, Oracle HTTP Server, Oracle Portal, Oracle Internet Directory, Hyperion BI Plus, Mobile Application Server, Oracle Report Manager, Oracle iStore, Oracle Application Object Library, Oracle Applications Technology Stack, PeopleSoft PeopleTools, WebLogic Server Plugins et WebLogic Server.
Crédit
Vulnérabilités découvertes par Flavio Casetta (Yocoya), Esteban Martinez Fayo (Application Security, Inc.), Johannes Greil (SEC Consult), guyp (Sentrigo), Joxean Koret, Alexander Kornbrust (Red Database Security), Stephen Kost (Integrigy), Dave Lewis, David Litchfield (NGS Software), Hirofumi Oka (JPCERT/CC Vulnerability Handling Team), Tanel Poder, Alexandr Polyakov (Digital Security), Andrea Purificato, et Dave Wichers (Aspect Security).
Historique
2008-07-16 : Version Initiale
Recevez les bulletins FrSIRT
Le service FrSIRT VNS permet aux professionnels de la sécurité (RSSI, DSI, administrateurs et consultants) de recevoir en temps-réel, par email, SMS et flux RSS/XML, des bulletins de vulnérabilités complets, détaillés et personnalisés.
