Multiples vulnérabilités dans des produits Oracle
Date de publication :
Oracle a publié un avis de 349 vulnérabilités, pour des raisons pratiques, seules les vulnérabilités critiques ont été publiées dans ce bulletin. L’ensemble des CVE publiées par Oracle sont disponibles ici.
Un dépassement d’entier est une erreur produite lorsque le résultat d’une opération mathématique est supérieur au plus grand nombre entier représentable dans le système qui l’héberge.
CVE-2022-23305[Score CVSS v3.1: 9.8]
Une vulnérabilité dans Log4J permet à un attaquant, en envoyant une requête SQL spécialement forgée à JDBCAppender, de porter atteinte à la confidentialité et à l’intégrité des données.
CVE-2022-23632[Score CVSS v3.1: 9.8]
Un défaut de configuration de la sécurité dans la couche de transport (TLS) du routeur lorsque l'en-tête de l'hôte est un nom de domaine complet (FQDN) permet à un attaquant, en envoyant une requête spécialement forgée, de contourner la mesure de sécurité du système.
CVE-2022-22965[Score CVSS v3.1: 9.8]
Une mauvaise gestion des objets PropertyDescriptor utilisés dans la liaison de données permet à un attaquant, en envoyant des données spécialement conçues à une application Spring Java, d’exécuter du code arbitraire sur le système.
CVE-2022-22947[Score CVSS v3.1: 10]
Une faille de sécurité permet à un attaquant non authentifié disposant d'un accès réseau via HTTP, en envoyant une requête spécialement forgée, d’exécuter du code arbitraire sur le système.
CVE-2022-23219[Score CVSS v3.1: 9.8]
Une vérification incorrecte des limites par la fonction clnt_create dans le module sunrpc permet à un attaquant, en envoyant un argument de nom d'hôte spécialement forgé, d’exécuter du code arbitraire ou de provoquer un déni de service.
CVE-2022-1154[Score CVSS v3.1: 9.8]
Une erreur de libération de mémoire vive après utilisation dans les fonctions mbyte.c et utf_ptr2char permet à un attaquant, en fournissant un SpEL spécialement conçu comme expression de routage, d’exécuter du code arbitraire.
CVE-2022-22963[Score CVSS v3.1: 9.8]
Une erreur lors de l'utilisation de la fonctionnalité de routage permet à un attaquant, en envoyant une requête spécialement forgée, d’exécuter du code arbitraire.
CVE-2022-25845[Score CVSS v3.1: 9.8]
Une désérialisation non sécurisée des données dans Node.js permet à un attaquant, en envoyant une requête spécialement forgée, d’exécuter du code arbitraire.
CVE-2022-22721[Score CVSS v3.1: 9.8]
Une faille de type « dépassement d’entier » lorsque LimitXMLRequestBody est défini pour autoriser les corps de requête supérieurs à 350 Mo permet à un attaquant, en envoyant une requête spécialement forgée, d’exécuter du code arbitraire ou de provoquer un déni de service.
CVE-2022-1292[Score CVSS v3.1: 9.8]
Une mauvaise validation des données entrantes par le script c_rehash permet à un attaquant, en envoyant une requête spécialement forgée, d’exécuter du code arbitraire avec les paramètres les plus élevés.
CVE-2022-22978[Score CVSS v3.1: 9.8]
Une erreur de configuration dans le composant RegexRequestMatcher permet à un attaquant de contourner la politique de sécurité.
CVE-2022-23457[Score CVSS v3.1: 9.8]
Une faille de sécurité dans l'implémentation par défaut de `Validator.getValidDirectoryPath(String, String, File, boolean)`permet à un attaquant de contourner la politique de sécurité.
CVE-2022-21543[Score CVSS v3.1: 9.8]
Une faille de sécurité dans le composant Updates Environment Mgmt permet à un attaquant de contourner la politique de sécurité et d’obtenir des privilèges élevés.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Déni de service (à distance)
Élévation de privilèges
Exécution de code arbitraire
Contournement de la politique de sécurité
Atteinte à la confidentialité des données
Atteinte à l’intégrité des données
Criticité
Score CVSS v3.1: 10 max critique
La faille est activement exploitée
Oui, pour la CVE-2022-22963.
Un correctif existe
Oui, pour l’ensemble des CVE présentées.
Une mesure de contournement existe
Non, pour l’ensemble des CVE présentées.
La vulnérabilité exploitée est du type
Pour la CVE-2022-23305
CWE-89: Improper Neutralization of Special Elements used in an SQL Command
Pour la CVE-2022-23632
CWE-295: Improper Certificate Validation
Pour la CVE-2022-22965, CVE-2022-22947, CVE-2022-22963
CWE-94: Improper Control of Generation of Code
Pour la CVE-2022-23219
CWE-120: Buffer Copy without Checking Size of Input
Pour la CVE-2022-1154
Pour la CVE-2022-25845
CWE-502: Deserialization of Untrusted Data
Pour la CVE-2022-22721
CWE-190: Integer Overflow or Wraparound
Pour la CVE-2022-1292
CWE-78: Improper Neutralization of Special Elements used in an OS Command
Pour la CVE-2022-22978
CWE-863: Incorrect Authorization
Pour la CVE-2022-23457
CWE-22: Improper Limitation of a Pathname to a Restricted Directory
Pour la CVE-2022-21543
En cours de recherche
Détails sur l’exploitation
Pour la CVE-2022-23305, CVE-2022-23632, CVE-2022-22965, CVE-2022-22947, CVE-2022-23219, CVE-2022-1154, CVE-2022-22963, CVE-2022-25845, CVE-2022-22978, CVE-2022-23457
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour les CVE-2022-1292, CVE-2022-21543
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Composants vulnérables
Pour la CVE-2022-23305
Oracle E-Business Suite Information Discovery en versions 12.2.3 à 12.2.11
Oracle Retail Extract Transform and Load en version 13.2.5
Oracle Communications Instant Messaging Server en version 10.0.1.5.0
Oracle Communications Offline Mediation Controller en versions antérieures à 12.0.0.4.4, antérieures à 12.0.0.5.1
Pour la CVE-2022-23632
Oracle Communications Unified Inventory Management en version 7.5.0
Pour la CVE-2022-22965
Oracle Communications Unified Inventory Management en versions 7.4.1, 7.4.2 et 7.5.0
Oracle Communications Cloud Native Core Binding Support Function en version 22.1.3
Oracle WebLogic Server en versions 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0
Oracle Retail Bulk Data Integration en version 16.0.3
Oracle Retail Customer Management and Segmentation Foundation en versions 17.0, 18.0 et 19.0
Oracle Retail Financial Integration en versions 14.1.3.2, 15.0.3.1, 16.0.3 et 19.0.1
Oracle Retail Integration Bus en versions 14.1.3.2, 15.0.3.1, 16.0.3 et 19.0.1
Oracle Retail Merchandising System en versions 16.0.3 et 19.0.1
Pour la CVE-2022-22947
Oracle Communications Cloud Native Core Binding Support Function en version 22.1.3
Oracle Communications Cloud Native Core Console en version 22.2.0
Oracle Communications Cloud Native Core Network Repository Function en version 22.1.2, 22.2.0
Oracle Communications Cloud Native Core Security Edge Protection Proxy en version 22.1.1
Pour la CVE-2022-22963
Oracle Communications Cloud Native Core Network Function Cloud Native Environment en version 22.1.2
Oracle Communications Cloud Native Core Policy en version 22.1.3
Oracle Banking Branch en version 14.5
Oracle Banking Cash Management en version 14.5
Oracle Banking Corporate Lending Process Management en version 14.5
Oracle Banking Credit Facilities Process Management en version 14.5
Oracle Banking Electronic Data Exchange for Corporates en version 14.5
Oracle Banking Liquidity Management en versions 14.2 et 14.5
Oracle Banking Origination en version 14.5
Oracle Banking Supply Chain Finance en version 14.5
Oracle Banking Trade Finance Process Management en version 14.5
Oracle Banking Virtual Account Management en version 14.5
Pour la CVE-2022-23219
Oracle Communications Cloud Native Core Binding Support Function en version 22.1.3
Oracle Communications Cloud Native Core Network Function Cloud Native Environment en version 22.1.0
Oracle Communications Cloud Native Core Network Repository Function en version 22.1.2, 22.2.0
Oracle Communications Cloud Native Core Security Edge Protection Proxy en version 22.1.1
Oracle Communications Cloud Native Core Unified Data Repository en version 22.2.0
Oracle Enterprise Operations Monitor en versions 4.3, 4.4 et 5.0
Pour la CVE-2022-1154
Oracle Communications Cloud Native Core Network Exposure Function en version 22.1.1
Pour la CVE-2022-25845
Oracle Communications Cloud Native Core Unified Data Repository en version 22.2.0
Pour la CVE-2022-22721
Enterprise Manager Ops Center en version 12.4.0.0
Pour la CVE-2022-1292
Enterprise Manager Ops Center en version 12.4.0.0
MySQL Server en versions 5.7.38 et antérieures, 8.0.29 et antérieures
MySQL Workbench en version 8.0.29 et antérieures
Pour la CVE-2022-22978
Oracle Financial Services Crime and Compliance Management Studio en versions 8.0.8.2.0 et 8.0.8.3.0
Pour la CVE-2022-23457
Oracle WebLogic Server en versions 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0
Pour la CVE-2022-21543
PeopleSoft Enterprise PeopleTools en versions 8.58 et 8.59
Solutions ou recommandations
Des mises à jour correctives ont été publiées pour l’ensemble des produits affectés. Des informations complémentaires sont disponibles ici.