CERTA-2001-AVI-136
Vulnerability from certfr_avis - Published: - Updated:None
Description
Oracle Label Security est une option du SGBD Oracle réalisant un contrôle d'accès au niveau des enregistrements de la base de données.
Trois vulnérabilités présentes dans Oracle Label Security permettent à un utilisateur mal intentionné d'élever ses droits d'accès aux données de la base Oracle.
Ces vulnérabilités peuvent potentiellement être exploitées lorsqu'une des fonctionnalités suivantes est utilisée :
- oracle label security audit ;
- SET_LABEL ;
- SQL*Predicate.
Solution
Pour la version 8.1.7 de Oracle Label Security, un correctif a été distribué par Oracle sous le numéro 2022108. Ce correctif peut être téléchargé sur le site web Metalink d'Oracle,
http://metalink.oracle.com
En ce qui concerne la version 9.0.1, le correctif n'est pas encore distribué à la date de rédaction de ce document. Oracle annonce que le correctif sera distribué avec la nouvelle version d'Oracle : Oracle 9i version 2.
Serveurs de base de données Oracle Label Security 8.1.7 et 9.0.1 sur plate-formes Sun Solaris 2.6 à 2.8.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eServeurs de base de donn\u00e9es Oracle Label Security 8.1.7 et 9.0.1 sur plate-formes Sun Solaris 2.6 \u00e0 2.8.\u003c/P\u003e",
"content": "## Description\n\nOracle Label Security est une option du SGBD Oracle r\u00e9alisant un\ncontr\u00f4le d\u0027acc\u00e8s au niveau des enregistrements de la base de donn\u00e9es.\n\nTrois vuln\u00e9rabilit\u00e9s pr\u00e9sentes dans Oracle Label Security permettent \u00e0\nun utilisateur mal intentionn\u00e9 d\u0027\u00e9lever ses droits d\u0027acc\u00e8s aux donn\u00e9es\nde la base Oracle.\n\nCes vuln\u00e9rabilit\u00e9s peuvent potentiellement \u00eatre exploit\u00e9es lorsqu\u0027une\ndes fonctionnalit\u00e9s suivantes est utilis\u00e9e :\n\n- oracle label security audit ;\n- SET_LABEL ;\n- SQL\\*Predicate.\n\n## Solution\n\nPour la version 8.1.7 de Oracle Label Security, un correctif a \u00e9t\u00e9\ndistribu\u00e9 par Oracle sous le num\u00e9ro 2022108. Ce correctif peut \u00eatre\nt\u00e9l\u00e9charg\u00e9 sur le site web Metalink d\u0027Oracle,\n\n http://metalink.oracle.com\n\nEn ce qui concerne la version 9.0.1, le correctif n\u0027est pas encore\ndistribu\u00e9 \u00e0 la date de r\u00e9daction de ce document. Oracle annonce que le\ncorrectif sera distribu\u00e9 avec la nouvelle version d\u0027Oracle : Oracle 9i\nversion 2.\n",
"cves": [],
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 Oracle :",
"url": "http://otn.oracle.com/deploy/security/pdf/OLS817alert.pdf"
}
],
"reference": "CERTA-2001-AVI-136",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2001-10-31T00:00:00.000000"
}
],
"risks": [
{
"description": "\u00c9l\u00e9vation des droits d\u0027acc\u00e8s aux donn\u00e9es"
}
],
"summary": null,
"title": "Vuln\u00e9rabilit\u00e9s dans Oracle Label Security",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin Alerte S\u00e9curit\u00e9 Oracle 21",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.