Oracle publie un bulletin mettant à jour 293 vulnérabilités sur ses produits

Oracle a publié le 16 avril 2019 un bulletin corrigeant 297 vulnérabilités sur ses produits dont 53 sont considérées comme critiques. Certaines des vulnérabilités critiques corrigées remontent par ailleurs à 2014.

Détails techniques :

Ce bulletin traite uniquement des vulnérabilités possédant un score CVSS supérieur à 9 et datant de 2019.

• CVE-2019-3822 [CVSS v3 9.8] : Cette vulnérabilité affecte 3 produits, Oracle Communications Operations Monitor, Oracle HTTP Server, Oracle Secure Global Desktop. Elle est la conséquence d’une vulnérabilité de dépassement de tampon sur la bibliothèque libcurl de transfert d’URL multi-formats et multiplateforme. Cela est dû à une mauvaise implémentation de l’entête d’authentification NTLM effectuant une mauvaise vérification de la taille des données en sortie pouvant dépasser la taille maximale. Cela pourrait permettre à un attaquant d’effectuer une exécution de code arbitraire ou encore un déni de service.

Le produit Oracle WebLogic Server, une application en Java fournissant des services web, est affecté par 3 vulnérabilités critiques :

• CVE-2019-3822 [CVSS v3 9.8] : Cette vulnérabilité est exploitée au travers du protocole HTTP, affectant le composant WLS Core et permet une attaque à distance. Les versions vulnérables sont les 10.3.6.0.0 et 12.1.3.0.0
• CVE-2019-2646 [CVSS v3 9.8] : La vulnérabilité est sur le protocole T3 utilisé pour transporter l’information entre WebLogic Server et les autres programmes Java. Le composant affecté est le conteneur EJB et les versions vulnérables sont  les 10.3.6.0.0, 12.1.3.0.0 et 12.2.1.3.0.
• CVE-2019-2645 [CVSS v3 9.8] : Cette vulnérabilité affecte également le protocole T3 utilisé pour transporter l’information entre WebLogic Server et les autres programmes Java. Par ailleurs, le composant affecté est WLS core et les versions vulnérables sont les 10.3.6.0.0, 12.1.3.0.0 et 12.2.1.3.0.
• CVE-2019-3772 [CVSS v3 9.8] : Une vulnérabilité affecte Oracle Retail Customer Management and Segmentation Foundation par le biais du cadriciel Spring permettant de développer des applications Java. Un attaquant non authentifié pourrait à distance effectuer injection de code XML sur le produit. Les versions vulnérables sont les 16.0, 17.0 et 18.0.
• CVE-2019-2702 [CVSS v3 9.3] : Oracle Hospitality Cruise Dining Room Management est vulnérable à une attaque à distance ne nécessitant pas d’authentification au travers le protocole HTTP. La version vulnérable est la 8.0.80.
• CVE-2019-2517 [CVSS v3 9.1]
   : Cette vulnérabilité affecte le composant Core RDBMS (Relational Database Management System). Un attaquant authentifié sur un réseau Oracle Net pourrait effectuer une élévation de privilège sur le système de base de données d’Oracle DBFS. Cette attaque serait simple à mettre en oeuvre. L’atteinte à la confidentialité et l’intégrité des données est très importante. Les versions affectées sont les 12.2.0.1 et 18c.
• CVE-2019-2699 [CVSS v3 9.0] : Une vulnérabilité permettant d’effectuer une exécution de code arbitraire sur Oracle Java SE, le composant vulnérable est Windows DLL. La version vulnérable est la 8u202.

Afin de mettre à jour les différents produits affectés, les utilisateurs sont invités à se référer aux bulletins de vulnérabilité Oracle correspondants.