int(213)

Boletines de Vulnerabilidades


Desbordamientos de búfer en Oracle Database Server

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricant afectat Comercial Software
Software afectado Oracle8 8.0.6, 8i 8.1.7 .1, 8i 8.1.7, 9i 9.0, 9i 9.0.1 .3, 9i 9.0.1 .2, 9i 9.0.1, 9i 9.0.2, 9i Release 2, 9.2 .2, 9i Release 2 9.2 .1

Descripción

Oracle ha informado recientemente de la aparición de diversas vulnerabilidades de desbordamiento de búfer en su aplicación Oracle Database Server. Todas ellas podrían ser aprovechadas por un atacante remoto para ejecutar código arbirtrario en el contexto de seguridad del servidor.

Las funciones que se ven afectadas por estas vulnerabilidades son: BFILENAME (al recibir un argumento DIRECTORY manipulado), TZ_OFFSET, TO_TIMESTAMP_TZ y el binario ORACLE.EXE .

Solución



Actualización de software

Dirígase al sitio de descarga de parches para obtener actualizaciones para los siguientes identificadores
2642117
2642267
2642439
2620726
Oracle - descarga de parches
http://metalink.oracle.com

Identificadores estándar

Propiedad Valor
CVE CAN-2003-0095
CAN-2003-0096
BID

Recursos adicionales

Oracle Security Alert #48
http://otn.oracle.com/deploy/security/pdf/2003alert48.pdf

Oracle Security Alert #49
http://otn.oracle.com/deploy/security/pdf/2003alert49.pdf

Oracle Security Alert #50
http://otn.oracle.com/deploy/security/pdf/2003alert50.pdf

Oracle Security Alert #51
http://otn.oracle.com/deploy/security/pdf/2003alert51.pdf

Histórico de versiones

Versión Comentario Data
1.0 Aviso emitido 2003-02-18
Ministerio de Defensa
CNI
CCN
CCN-CERT