Oracle publie un bulletin mettant à jour 293 vulnérabilités sur ses produits

Date de publication :

Oracle a publié le 16 avril 2019 un bulletin corrigeant 297 vulnérabilités sur ses produits dont 53 sont considérées comme critiques. Certaines des vulnérabilités critiques corrigées remontent par ailleurs à 2014.

Détails techniques :

Ce bulletin traite uniquement des vulnérabilités possédant un score CVSS supérieur à 9 et datant de 2019.

    CVE-2019-3822 [CVSS v3 9.8] : Cette vulnérabilité affecte 3 produits, Oracle Communications Operations Monitor, Oracle HTTP Server, Oracle Secure Global Desktop. Elle est la conséquence d’une vulnérabilité de dépassement de tampon sur la bibliothèque libcurl de transfert d’URL multi-formats et multiplateforme. Cela est dû à une mauvaise implémentation de l’entête d’authentification NTLM effectuant une mauvaise vérification de la taille des données en sortie pouvant dépasser la taille maximale. Cela pourrait permettre à un attaquant d’effectuer une exécution de code arbitraire ou encore un déni de service.

Le produit Oracle WebLogic Server, une application en Java fournissant des services web, est affecté par 3 vulnérabilités critiques :

    CVE-2019-3822 [CVSS v3 9.8] : Cette vulnérabilité est exploitée au travers du protocole HTTP, affectant le composant WLS Core et permet une attaque à distance. Les versions vulnérables sont les 10.3.6.0.0 et 12.1.3.0.0
    CVE-2019-2646 [CVSS v3 9.8] : La vulnérabilité est sur le protocole T3 utilisé pour transporter l’information entre WebLogic Server et les autres programmes Java. Le composant affecté est le conteneur EJB et les versions vulnérables sont  les 10.3.6.0.0, 12.1.3.0.0 et 12.2.1.3.0.
    CVE-2019-2645 [CVSS v3 9.8] : Cette vulnérabilité affecte également le protocole T3 utilisé pour transporter l’information entre WebLogic Server et les autres programmes Java. Par ailleurs, le composant affecté est WLS core et les versions vulnérables sont les 10.3.6.0.0, 12.1.3.0.0 et 12.2.1.3.0.
    CVE-2019-3772 [CVSS v3 9.8] : Une vulnérabilité affecte Oracle Retail Customer Management and Segmentation Foundation par le biais du cadriciel Spring permettant de développer des applications Java. Un attaquant non authentifié pourrait à distance effectuer injection de code XML sur le produit. Les versions vulnérables sont les 16.0, 17.0 et 18.0.
    CVE-2019-2702 [CVSS v3 9.3] : Oracle Hospitality Cruise Dining Room Management est vulnérable à une attaque à distance ne nécessitant pas d’authentification au travers le protocole HTTP. La version vulnérable est la 8.0.80.
    CVE-2019-2517 [CVSS v3 9.1]

     : Cette vulnérabilité affecte le composant Core RDBMS (Relational Database Management System). Un attaquant authentifié sur un réseau Oracle Net pourrait effectuer une élévation de privilège sur le système de base de données d’Oracle DBFS. Cette attaque serait simple à mettre en oeuvre. L’atteinte à la confidentialité et l’intégrité des données est très importante. Les versions affectées sont les 12.2.0.1 et 18c.
    CVE-2019-2699 [CVSS v3 9.0] : Une vulnérabilité permettant d’effectuer une exécution de code arbitraire sur Oracle Java SE, le composant vulnérable est Windows DLL. La version vulnérable est la 8u202.

Afin de mettre à jour les différents produits affectés, les utilisateurs sont invités à se référer aux bulletins de vulnérabilité Oracle correspondants.

    Informations

    La faille est activement exploitée :

    Un correctif existe :

    Une mesure de contournement existe :

    Risques

    Risques

      Exécution de code arbitraire ;
      Elévation de privilèges.

    Criticité

      Score CVSS : 9.80

    Existence d’un code d’exploitation de la vulnérabilité

      Aucun code d'exploitation n'a été diffusé.

    Composants & versions vulnérables

    De façon générale, les vulnérabilités de l’ensemble du bulletin portent sur les produits Oracle suivants :

      Oracle Agile PLM
      Oracle API Gateway
      Oracle Application Testing Suite
      Oracle AutoVue 3D Professional Advanced
      Oracle Banking Platform
      Oracle Berkeley DB
      Oracle BI Publisher
      La gamme Oracle Business
      La gamme Oracle Commerce
      La gamme Oracle Communications
      La gamme Oracle Configuration
      Oracle Data Integrator
      Oracle Database Server
      Oracle E-Business Suite
      Oracle Endeca Information Discovery Integrator
      La gamme Oracle Enterprise
      La gamme Oracle Financial
      Oracle FLEXCUBE Private banking
      Oracle Fusion Muddleware MapViewer
      Oracle Health
      Oracle Healthcare
      Oracle Hospitality
      Oracle HTTP Server
      Oracle Identity Analytics
      Oracle Java SE
      Oracle JDeveloper
      Oracle Knowledge
      Oracle Managed File Transfer
      Oracle Outside In Technology
      Oracle Real-Time Scheduler
      La gamme Oracle Retail
      Oracle Secure Global Desktop
      Oracle Service Bus
      Oracle SOA Suite
      Oracle Solaris
      Oracle Traffic Director
      Oracle Transportation Management
      Oracle Tuxedo
      La gamme Oracle Utilities
      Oracle VM VirtualBox
      La gamme Oracle WebCenter
      Oracle WebLogic Server

    CVE

      CVE-2019-2517
      CVE-2019-2645
      CVE-2019-2646
      CVE-2019-2658
      CVE-2019-2699
      CVE-2019-2702
      CVE-2019-3772
      CVE-2019-3822

    Solutions ou recommandations

    Mise en place de correctif de sécurité

    • Les versions affectées sont détaillées par vulnérabilité dans le bulletin.

    Solution de contournement

    • Aucune solution de contournement n'a été diffusée.

    Liens