Vulnerabilidad en Oracle 8i y 9i
|
Clasificación de la vulnerabilidad
|
Propiedad |
Valor |
Nivel de Confianza |
Oficial |
Impacto |
Aumento de privilegios |
Dificultad |
Experto |
Requerimientos del atacante |
Acceso remoto con cuenta |
Información sobre el sistema
|
Propiedad |
Valor |
Fabricant afectat |
Comercial Software |
Software afectado |
Oracle9i Release 2, 9.2.x
Oracle9i Release 1, 9.0.x
Oracle8i (8.1.x ) |
Descripción
|
Se ha descubierto una vulnerabilidad en Oracle 8i y 9i que permite a un usuario del systema tomar control total sobre el manejador de la base de datos Oracle.
Esta vulnerabilidad consiste en un desbordamiento de búfer descubierto en los programas "oracle" y "oracleO" del manejador de la base de datos oracle.Este desbordamiento de búfer puede ser explotado por un usuario local para ejecutar código arbitrario sobre el sistema, con permisos del usuario "oracle" y del grupo "dba" |
Solución
|
A falta de una solución definitiva, Oracle recomienta quitar los permisos de "otros" sobre los programas vulnerables. Para ello, utilícense los siguientes comandos:
cd $ORACLE_HOME/bin
chmod o-x oracle oracleO
Tambien se debe comprobar que sólo usuarios autorizados estén en el mismo grupo que los binarios "oracle" y oracleO".
Actualización de software
Visite la web del fabricante para obtener un parche para esta vulnerabilidad
http://metalink.oracle.com |
Identificadores estándar
|
Propiedad |
Valor |
CVE |
CAN-2003-0894 |
BID |
NULL |
Recursos adicionales
|
Oracle security alert #59 dated October 20, 2003
http://otn.oracle.com/deploy/security/pdf/2003Alert59.pdf |