Vulnérabilités dans plusieurs produits Oracle

L’éditeur Oracle a publié un avis de sécurité concernant la correction de 390 vulnérabilités sur ses produits. Dans le souci de proposer un bulletin digeste, seul un petit nombre des vulnérabilités présentes dans l’avis de sécurité sont relayées dans ce bulletin. Le CERT Santé encourage fortement les lecteurs de ce bulletin de vérifier sur l’avis de sécurité d’Oracle s’ils ne sont pas impactés par des vulnérabilités impactant d'autres logiciels que ceux présentés ici.

Oracle VM Virtual Box (sur Windows) :

CVE-2021-2264 [Score CVSS v3 : 8.4] 
L'exploitation de cette faille peut permettre à un attaquant local et faiblement authentifié d’impacter considérablement la confidentialité et l’intégrité du système hôte sous-jacent. Les détails concernant cette vulnérabilité ne sont pas spécifiés.

CVE-2021-2250 [Score CVSS v3 : 8.2] 
L'exploitation de cette faille peut permettre à un attaquant local et faiblement authentifié d’impacter considérablement la confidentialité, la disponibilité et l’intégrité du système hôte sous-jacent. Les détails concernant cette vulnérabilité ne sont pas spécifiés.

CVE-2021-2279 [Score CVSS v3 : 8.1] 
L'exploitation de cette faille peut permettre à un attaquant distant et faiblement authentifié d’impacter considérablement la confidentialité et l’intégrité de la machine virtuelle. Les détails concernant cette vulnérabilité ne sont pas spécifiés.

CVE-2021-2309 [Score CVSS v3 : 7.5] 
L'exploitation de cette faille peut permettre à un attaquant local et faiblement authentifié d’impacter considérablement la confidentialité, la disponibilité et l’intégrité du système hôte sous-jacent. Les détails concernant cette vulnérabilité ne sont pas spécifiés.

CVE-2021-2145 [Score CVSS v3 : 7.5] 
L'exploitation de cette faille peut permettre à un attaquant local et faiblement authentifié d’impacter considérablement la confidentialité, la disponibilité et l’intégrité du système hôte sous-jacent. Les détails concernant cette vulnérabilité ne sont pas spécifiés.

CVE-2021-2310 [Score CVSS v3 : 7.5] 
L'exploitation de cette faille peut permettre à un attaquant local et faiblement authentifié d’impacter considérablement la confidentialité, la disponibilité et l’intégrité du système hôte sous-jacent. Les détails concernant cette vulnérabilité ne sont pas spécifiés.

CVE-2021-2280 [Score CVSS v3 : 7.1] 
L'exploitation de cette faille peut permettre à un attaquant local et faiblement authentifié d’impacter considérablement la confidentialité et la disponibilité du système hôte sous-jacent. Les détails concernant cette vulnérabilité ne sont pas spécifiés.

CVE-2021-2281 [Score CVSS v3 : 7.1] 
L'exploitation de cette faille peut permettre à un attaquant local et faiblement authentifié d’impacter considérablement l’intégrité du système hôte sous-jacent. Les détails concernant cette vulnérabilité ne sont pas spécifiés.

CVE-2021-2282 [Score CVSS v3 : 7.1] 
L'exploitation de cette faille peut permettre à un attaquant local et faiblement authentifié d’impacter considérablement la confidentialité du système hôte sous-jacent. Les détails concernant cette vulnérabilité ne sont pas spécifiés.

CVE-2021-2283 [Score CVSS v3 : 7.1] 
L'exploitation de cette faille peut permettre à un attaquant local et faiblement authentifié d’impacter considérablement la confidentialité du système hôte sous-jacent. Les détails concernant cette vulnérabilité ne sont pas spécifiés.

CVE-2021-2284 [Score CVSS v3 : 7.1] 
L'exploitation de cette faille peut permettre à un attaquant local et faiblement authentifié d’impacter considérablement l’intégrité du système hôte sous-jacent. Les détails concernant cette vulnérabilité ne sont pas spécifiés.

CVE-2021-2285 [Score CVSS v3 : 7.1] 
L'exploitation de cette faille peut permettre à un attaquant local et faiblement authentifié d’impacter considérablement la confidentialité du système hôte sous-jacent. Les détails concernant cette vulnérabilité ne sont pas spécifiés.

CVE-2021-2286 [Score CVSS v3 : 7.1] 
L'exploitation de cette faille peut permettre à un attaquant local et faiblement authentifié d’impacter considérablement l’intégrité du système hôte sous-jacent. Les détails concernant cette vulnérabilité ne sont pas spécifiés.

CVE-2021-2287 [Score CVSS v3 : 7.1] 
L'exploitation de cette faille peut permettre à un attaquant local et faiblement authentifié d’impacter considérablement la confidentialité du système hôte sous-jacent. Les détails concernant cette vulnérabilité ne sont pas spécifiés.

Oracle Solaris :

CVE-2021-2167 [Score CVSS v3 : 7.8] 
L'exploitation de cette faille peut permettre à un attaquant local et faiblement authentifié d’impacter considérablement la confidentialité, la disponibilité et l’intégrité des dispositifs vulnérables. Les détails concernant cette vulnérabilité ne sont pas spécifiés.

Oracle Secure Global desktop :

CVE-2021-2177 [Score CVSS v3 : 10.0] 
L'exploitation de cette faille peut permettre à un attaquant distant et non authentifié d’impacter considérablement la confidentialité, la disponibilité et l’intégrité des dispositifs vulnérables. Les détails concernant cette vulnérabilité ne sont pas spécifiés.

CVE-2021-2248 [Score CVSS v3 : 10.0] 
L'exploitation de cette faille peut permettre à un attaquant distant et non authentifié d’impacter considérablement la confidentialité, la disponibilité et l’intégrité des dispositifs vulnérables. Les détails concernant cette vulnérabilité ne sont pas spécifiés.

CVE-2021-2221 [Score CVSS v3 : 9.6] 
L'exploitation de cette faille peut permettre à un attaquant distant et non authentifié d’impacter considérablement la confidentialité, la disponibilité et l’intégrité des dispositifs vulnérables. L’interaction d'un utilisateur légitime est nécessaire à l 'exploitation de cette faille. Les détails concernant cette vulnérabilité ne sont pas spécifiés.

CVE-2021-3450 [Score CVSS v3 : 7.4] 
Cette vulnérabilité affecte le composant OpenSSL implémenté dans plusieurs logiciels Oracle dont Oracle Secure Global Desktop. Une vérification permettant d’interdire les certificats dans la chaîne qui ont des paramètres de courbe elliptique explicitement encodés peut permettre à un attaquant distant et non authentifié d’écraser le résultat de cette vérification confirmant que les certificats dans la chaîne sont des certificats d’autorité de certification (CA) valides. L’attaquant peut alors être en mesure d’émettre des certificats frauduleux.

Oracle Database (Dell BSAFE Micro Edition) :

CVE-2020-5360 [Score CVSS v3 : 7.5] 
Une vulnérabilité de sous-lecture de tampon a été corrigée. Un attaquant distant et non authentifié pourrait potentiellement exploiter cette vulnérabilité, ce qui entraînerait un comportement non défini ou un déni de service sur les systèmes concernés.

Oracle Email Center :

CVE-2021-2209 [Score CVSS v3 : 8.5] 
L'exploitation de cette faille peut permettre à un attaquant distant et authentifié d’impacter considérablement la confidentialité et l’intégrité des dispositifs vulnérables. Les détails concernant cette vulnérabilité ne sont pas spécifiés.

Oracle NoSQL Database :

CVE-2020-11612 [Score CVSS v3 : 7.5] 
Cette vulnérabilité affecte le composant ZlibDecoders de Netty implémenté dans plusieurs logiciels Oracle dont Oracle NoSQL Database. Cette faille peut permettre une allocation de mémoire sans limite lors du décodage d'un flux d'octets ZlibEncoded. Un attaquant distant et non-authentifié peut envoyer un grand flux d'octets ZlibEncoded au serveur, forçant le serveur à allouer toute sa mémoire libre à un seul décodeur.

CVE-2021-22883 [Score CVSS v3 : 7.5] 
Cette vulnérabilité affecte le composant NodeJS implémenté dans plusieurs logiciels Oracle dont Oracle NoSQL Database. Cette faille est due à une mauvaise gestion des connexions entrantes. Lorsque trop de tentatives de connexion avec un protocole non reconnu  sont établies, une fuite des descripteurs de fichiers peut se produire, ce qui peut entraîner un déni de service. Si une limite de descripteurs de fichiers est configurée sur le système, le serveur est alors incapable d'accepter de nouvelles connexions et empêche également le processus de s'ouvrir. Si aucune limite de descripteur de fichier n'est configurée, cela peut entraîner une utilisation excessive de la mémoire et provoquer un déni de service impactant le système. Cette faille est exploitable par un attaquant distant et non authentifié.

Oracle Weblogic server :

CVE-2021-2157 [Score CVSS v3 : 7.5] 
L'exploitation de cette faille peut permettre à un attaquant local et faiblement authentifié d’impacter considérablement la confidentialité des dispositifs vulnérables. Les détails concernant cette vulnérabilité ne sont pas spécifiés.

CVE-2021-2135 [Score CVSS v3 : 9.8] 
L'exploitation de cette faille peut permettre à un attaquant local et non authentifié d’impacter considérablement la confidentialité, la disponibilité et l’intégrité des dispositifs vulnérables. Les détails concernant cette vulnérabilité ne sont pas spécifiés.

CVE-2021-2136 [Score CVSS v3 : 9.8] 
L'exploitation de cette faille peut permettre à un attaquant local et non authentifié d’impacter considérablement la confidentialité, la disponibilité et l’intégrité des dispositifs vulnérables. Les détails concernant cette vulnérabilité ne sont pas spécifiés.