Vue d’ensemble
Oracle a publié des correctifs pour trois vulnérabilités très critiques (score CVSS de 9.8). Ces vulnérabilités peuvent être exploitées depuis le réseau sans authentification.
Détails techniques
Quatre CVE ont été attribués à ces vulnérabilités:
- CVE-2018-7489 - CVSS 9.8: vulnérabilité affectant les composants Market Risk Measurement, Hedge Management, IFRS Valuations et Management des applications Oracle Financial Services. La vulnérabilité, facilement exploitable, est due à un défaut de désérialisation des données. Son exploitation permettrait à un attaquant non authentifié avec accès sur le réseau de prendre le contrôle des systèmes via HTTP ;
- CVE-2018-2628 - CVSS 9.8: vulnérabilité dans le composant Oracle WebLogic Server d'Oracle Fusion Middleware. La vulnérabilité, facilement exploitable, permettrait à un attaquant non authentifié avec un accès réseau via T3 de prendre le contrôle d'Oracle WebLogic Server ;
- CVE-2017-5645 - CVSS 9.8: vulnérabilité dans le composant JD Edwards World Security des produits JD Edwards ainsi que le composant Retail Order Management System d'Oracle Retail Applications. La vulnérabilité, facilement exploitable, permettrait à un attaquant non authentifié avec un accès réseau de prendre le contrôle des systèmes via HTTP.
Impact
- Prise de contrôle des systèmes :
- Déni de service ;
- Atteinte à la confidentialité des données ;
- Atteinte à l'intégrité des données.
Criticité
- CVSS v3 : 9.8
Existence d’un code d’exploitation de la vulnérabilité
- Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- Oracle Financial Services Applications, versions 8.0.4 et 8.0.5 ;
- Oracle Fusion Middleware, versions 10.3.6.0, 12.1.3.0, 12.2.1.2 et 12.2.1.3 ;
- Oracle JD Edwards, versions A9.2, A9.3 et A9.4 ;
- Oracle Retail Applications, versions 4.0, 4.5, 4.7 et 5.0.
CVE
- CVE-2018-7489 ;
- CVE-2018-2628 ;
CVE-2017-5645.
Correctifs
- Un patch de sécurité corrigeant les vulnérabilités a été publié par Oracle.
Solution de contournement
- Il n'existe pas actuellement de solution de contournement.