Avis au sujet d'un correctif critique publié par Oracle - Janvier 2010
Numéro : AV10-004
Date : 13 janvier 2009
Objet
Cet avis a pour objet d'attirer l'attention sur le correctif critique suivant s'appliquant à des produits Oracle.
Évaluation
Oracle a publié 24 nouveaux correctifs de sécurité touchant un grand nombre de ses produits :
Oracle Database 11g, version 11.1.0.7
Oracle Database 10g, release 2, version 10.2.0.3
Oracle Database 10g, release 2, version 10.2.0.4
Oracle Database 10g, version 10.1.0.5
Oracle Database 9i, release 2, version 9.2.0.8
Oracle Database 9i, release 2, version 9.2.0.8DV
Oracle Application Server 10g, release 3 (10.1.3), version 10.1.3.4.0
Oracle Application Server 10g, release 3 (10.1.3), version 10.1.3.5
Oracle Application Server 10g, release 3 (10.1.3), version 10.1.3.5.1
Oracle Application Server 10g, release 2 (10.1.2), version 10.1.2.3.0
Oracle Access Manager, version 7.0.4.3
Oracle Access Manager, version 10.1.4.2
Oracle E-Business Suite, release 12, version 12.0.4
Oracle E-Business Suite, release 12, version 12.0.5
Oracle E-Business Suite, release 12, version 12.0.6
Oracle E-Business Suite, release 12, version 12.1.1
Oracle E-Business Suite, release 12, version 12.1.2
Oracle E-Business Suite, release 11i, version 11.5.10.2
PeopleSoft Enterprise HCM (TAM), version 8.9
PeopleSoft Enterprise HCM (TAM), version 9.0
Oracle WebLogic Server, versions 10.0 à MP2
Oracle WebLogic Server, version 10.3.0
Oracle WebLogic Server, version 10.3.1
Oracle WebLogic Server, version 9.0 GA
Oracle WebLogic Server, version 9.1 GA
Oracle WebLogic Server, versions 9.2 à 9.2 MP3
Oracle WebLogic Server, versions 8.1 à 8.1 SP6
Oracle WebLogic Server, versions 7.0 à 7.0 SP7
Oracle JRockit, version R27.6.5 and prior (JDK/JRE 6, 5, 1.4.2)
Primavera P6 Enterprise Project Portfolio Management, version 6.1
Primavera P6 Enterprise Project Portfolio Management, version 6.2.1
Primavera P6 Enterprise Project Portfolio Management, version 7.0
Primavera P6 Web Services, version 6.2.1
Primavera P6 Web Services, version 7.0
Primavera P6 Web Services, version 7.0SP1
Références CVE : CVE-2009-1996, CVE-2009-2625, CVE-2009-3410, CVE-2009-3411, CVE-2009-3412, CVE-2009-3412, CVE-2009-3413, CVE-2009-3414, CVE-2009-3415, CVE-2009-3416, CVE-2010-0066, CVE-2010-0067, CVE-2010-0068, CVE-2010-0069, CVE-2010-0070, CVE-2010-0071, CVE-2010-0072, CVE-2010-0074, CVE-2010-0075, CVE-2010-0076, CVE-2010-0077, CVE-2010-0078, CVE-2010-0079 et CVE-2010-0080
Mesure suggérée
Oracle recommande fortement à ses clients d'appliquer les correctifs critiques le plus tôt possible en raisant de la menace que représente une attaque réussie.
Le CCRIC recommande que les administrateurs identifient les produits touchés, évaluent le besoin de faire des mises à jour et identifient les dépendances potentielles.
Références :
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2010.html
http://www.vupen.com/english/advisories/2010/0102
Note aux lecteurs
Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.
Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:
Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca