Multiples vulnérabilités dans des produits Oracle
Date de publication :
Oracle a publié un avis de 349 vulnérabilités, pour des raisons pratiques, seules les vulnérabilités critiques ont été publiées dans ce bulletin. L’ensemble des CVE publiées par Oracle sont disponibles ici.
Un dépassement d’entier est une erreur produite lorsque le résultat d’une opération mathématique est supérieur au plus grand nombre entier représentable dans le système qui l’héberge.
CVE-2022-23305[Score CVSS v3.1: 9.8]
Une vulnérabilité dans Log4J permet à un attaquant, en envoyant une requête SQL spécialement forgée à JDBCAppender, de porter atteinte à la confidentialité et à l’intégrité des données.
CVE-2022-23632[Score CVSS v3.1: 9.8]
Un défaut de configuration de la sécurité dans la couche de transport (TLS) du routeur lorsque l'en-tête de l'hôte est un nom de domaine complet (FQDN) permet à un attaquant, en envoyant une requête spécialement forgée, de contourner la mesure de sécurité du système.
CVE-2022-22965[Score CVSS v3.1: 9.8]
Une mauvaise gestion des objets PropertyDescriptor utilisés dans la liaison de données permet à un attaquant, en envoyant des données spécialement conçues à une application Spring Java, d’exécuter du code arbitraire sur le système.
CVE-2022-22947[Score CVSS v3.1: 10]
Une faille de sécurité permet à un attaquant non authentifié disposant d'un accès réseau via HTTP, en envoyant une requête spécialement forgée, d’exécuter du code arbitraire sur le système.
CVE-2022-23219[Score CVSS v3.1: 9.8]
Une vérification incorrecte des limites par la fonction clnt_create dans le module sunrpc permet à un attaquant, en envoyant un argument de nom d'hôte spécialement forgé, d’exécuter du code arbitraire ou de provoquer un déni de service.
CVE-2022-1154[Score CVSS v3.1: 9.8]
Une erreur de libération de mémoire vive après utilisation dans les fonctions mbyte.c et utf_ptr2char permet à un attaquant, en fournissant un SpEL spécialement conçu comme expression de routage, d’exécuter du code arbitraire.
CVE-2022-22963[Score CVSS v3.1: 9.8]
Une erreur lors de l'utilisation de la fonctionnalité de routage permet à un attaquant, en envoyant une requête spécialement forgée, d’exécuter du code arbitraire.
CVE-2022-25845[Score CVSS v3.1: 9.8]
Une désérialisation non sécurisée des données dans Node.js permet à un attaquant, en envoyant une requête spécialement forgée, d’exécuter du code arbitraire.
CVE-2022-22721[Score CVSS v3.1: 9.8]
Une faille de type « dépassement d’entier » lorsque LimitXMLRequestBody est défini pour autoriser les corps de requête supérieurs à 350 Mo permet à un attaquant, en envoyant une requête spécialement forgée, d’exécuter du code arbitraire ou de provoquer un déni de service.
CVE-2022-1292[Score CVSS v3.1: 9.8]
Une mauvaise validation des données entrantes par le script c_rehash permet à un attaquant, en envoyant une requête spécialement forgée, d’exécuter du code arbitraire avec les paramètres les plus élevés.
CVE-2022-22978[Score CVSS v3.1: 9.8]
Une erreur de configuration dans le composant RegexRequestMatcher permet à un attaquant de contourner la politique de sécurité.
CVE-2022-23457[Score CVSS v3.1: 9.8]
Une faille de sécurité dans l'implémentation par défaut de `Validator.getValidDirectoryPath(String, String, File, boolean)`permet à un attaquant de contourner la politique de sécurité.
CVE-2022-21543[Score CVSS v3.1: 9.8]
Une faille de sécurité dans le composant Updates Environment Mgmt permet à un attaquant de contourner la politique de sécurité et d’obtenir des privilèges élevés.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service (à distance)
- Élévation de privilèges
- Exécution de code arbitraire
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Atteinte à l’intégrité des données
Criticité
- Score CVSS v3.1: 10 max critique
La faille est activement exploitée
- Oui, pour la CVE-2022-22963.
Un correctif existe
- Oui, pour l’ensemble des CVE présentées.
Une mesure de contournement existe
- Non, pour l’ensemble des CVE présentées.
La vulnérabilité exploitée est du type
- Pour la CVE-2022-23305
CWE-89: Improper Neutralization of Special Elements used in an SQL Command
- Pour la CVE-2022-23632
CWE-295: Improper Certificate Validation
- Pour la CVE-2022-22965, CVE-2022-22947, CVE-2022-22963
CWE-94: Improper Control of Generation of Code
- Pour la CVE-2022-23219
CWE-120: Buffer Copy without Checking Size of Input
- Pour la CVE-2022-1154
- Pour la CVE-2022-25845
CWE-502: Deserialization of Untrusted Data
- Pour la CVE-2022-22721
CWE-190: Integer Overflow or Wraparound
- Pour la CVE-2022-1292
CWE-78: Improper Neutralization of Special Elements used in an OS Command
- Pour la CVE-2022-22978
CWE-863: Incorrect Authorization
- Pour la CVE-2022-23457
CWE-22: Improper Limitation of a Pathname to a Restricted Directory
- Pour la CVE-2022-21543
En cours de recherche
Détails sur l’exploitation
Pour la CVE-2022-23305, CVE-2022-23632, CVE-2022-22965, CVE-2022-22947, CVE-2022-23219, CVE-2022-1154, CVE-2022-22963, CVE-2022-25845, CVE-2022-22978, CVE-2022-23457
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour les CVE-2022-1292, CVE-2022-21543
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Composants vulnérables
Pour la CVE-2022-23305
- Oracle E-Business Suite Information Discovery en versions 12.2.3 à 12.2.11
- Oracle Retail Extract Transform and Load en version 13.2.5
- Oracle Communications Instant Messaging Server en version 10.0.1.5.0
- Oracle Communications Offline Mediation Controller en versions antérieures à 12.0.0.4.4, antérieures à 12.0.0.5.1
Pour la CVE-2022-23632
- Oracle Communications Unified Inventory Management en version 7.5.0
Pour la CVE-2022-22965
- Oracle Communications Unified Inventory Management en versions 7.4.1, 7.4.2 et 7.5.0
- Oracle Communications Cloud Native Core Binding Support Function en version 22.1.3
- Oracle WebLogic Server en versions 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0
- Oracle Retail Bulk Data Integration en version 16.0.3
- Oracle Retail Customer Management and Segmentation Foundation en versions 17.0, 18.0 et 19.0
- Oracle Retail Financial Integration en versions 14.1.3.2, 15.0.3.1, 16.0.3 et 19.0.1
- Oracle Retail Integration Bus en versions 14.1.3.2, 15.0.3.1, 16.0.3 et 19.0.1
- Oracle Retail Merchandising System en versions 16.0.3 et 19.0.1
Pour la CVE-2022-22947
- Oracle Communications Cloud Native Core Binding Support Function en version 22.1.3
- Oracle Communications Cloud Native Core Console en version 22.2.0
- Oracle Communications Cloud Native Core Network Repository Function en version 22.1.2, 22.2.0
- Oracle Communications Cloud Native Core Security Edge Protection Proxy en version 22.1.1
Pour la CVE-2022-22963
- Oracle Communications Cloud Native Core Network Function Cloud Native Environment en version 22.1.2
- Oracle Communications Cloud Native Core Policy en version 22.1.3
- Oracle Banking Branch en version 14.5
- Oracle Banking Cash Management en version 14.5
- Oracle Banking Corporate Lending Process Management en version 14.5
- Oracle Banking Credit Facilities Process Management en version 14.5
- Oracle Banking Electronic Data Exchange for Corporates en version 14.5
- Oracle Banking Liquidity Management en versions 14.2 et 14.5
- Oracle Banking Origination en version 14.5
- Oracle Banking Supply Chain Finance en version 14.5
- Oracle Banking Trade Finance Process Management en version 14.5
- Oracle Banking Virtual Account Management en version 14.5
Pour la CVE-2022-23219
- Oracle Communications Cloud Native Core Binding Support Function en version 22.1.3
- Oracle Communications Cloud Native Core Network Function Cloud Native Environment en version 22.1.0
- Oracle Communications Cloud Native Core Network Repository Function en version 22.1.2, 22.2.0
- Oracle Communications Cloud Native Core Security Edge Protection Proxy en version 22.1.1
- Oracle Communications Cloud Native Core Unified Data Repository en version 22.2.0
- Oracle Enterprise Operations Monitor en versions 4.3, 4.4 et 5.0
Pour la CVE-2022-1154
- Oracle Communications Cloud Native Core Network Exposure Function en version 22.1.1
Pour la CVE-2022-25845
- Oracle Communications Cloud Native Core Unified Data Repository en version 22.2.0
Pour la CVE-2022-22721
- Enterprise Manager Ops Center en version 12.4.0.0
Pour la CVE-2022-1292
- Enterprise Manager Ops Center en version 12.4.0.0
- MySQL Server en versions 5.7.38 et antérieures, 8.0.29 et antérieures
- MySQL Workbench en version 8.0.29 et antérieures
Pour la CVE-2022-22978
- Oracle Financial Services Crime and Compliance Management Studio en versions 8.0.8.2.0 et 8.0.8.3.0
Pour la CVE-2022-23457
- Oracle WebLogic Server en versions 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0
Pour la CVE-2022-21543
PeopleSoft Enterprise PeopleTools en versions 8.58 et 8.59
Solutions ou recommandations
Des mises à jour correctives ont été publiées pour l’ensemble des produits affectés. Des informations complémentaires sont disponibles ici.