Vulnérabilités Critiques pour le logiciel E-Business Suite d'Oracle
CVE-2019-2638 - https://nvd.nist.gov/vuln/detail/CVE-2019-2638
CVE-2019-2633 - https://nvd.nist.gov/vuln/detail/CVE-2019-2633
Sources
https://www.oracle.com/security-alerts/cpuapr2019.html#AppendixEM
Risques
Une exécution réussie d'un exploit utilisant ces vulnérabilités peut entraîner la création, la suppression ou la modification non autorisée de l'accès aux données critiques et/ou l'accès complet à toutes les données accessibles par l'Oracle General Ledger et l'Oracle Work in Process. Les sous-composants vulnérables sont le ''Consolidation Hierarchy Viewer'' pour le composant Oracle General Ledger et le sous-composant ''Messages'' pour le composant Oracle Work in Process du logiciel Oracle E-Business Suite.
Description
Deux vulnérabilités de sécurité critiques découvertes dans Oracle E-Business Suite (EBS) pourraient permettre à un acteur malveillant de prendre le contrôle total de l'ensemble de la solution ERP (Enterprise Resource Planning) d'une entreprise.
Les failles de contrôle d'accès Oracle EBS incorrectes sont accompagnées d'une note CVSS de 9,9 sur 10 et sont suivies comme CVE-2019-2638 (pour le sous-composant 'Consolidation Hierarchy Viewer' du composant Oracle General Ledger) et CVE-2019-2633 (pour le sous-composant ''Messages'' du composant Work in Process). Ces deux composants sont intégrés dans l'E-Business Suite d'Oracle.
Si elles sont exploitées avec succès lors d'une attaque, les deux failles de sécurité peuvent permettre à un acteur malveillant d'éviter d'être détecté lors de l'impression de chèques bancaires et de transferts électroniques de fonds.
Actions recommandées
CERT.be recommande aux administrateurs système de patcher immédiatement leurs systèmes en installant au minimum le patch critique d'Oracle d'avril 2019.