Boletines de Vulnerabilidades |
Inyección de comandos SQL en paquete "DBMS_EXPORT_EXTENSION" en Oracle |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Probable |
Impacto | Aumento de privilegios |
Dificultad | Principiante |
Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado | Oracle Database 10g <= 10.2.0.2 |
Descripción |
|
Se ha descubierto una vulnerabilidad en Oracle Database 10g versión 10.2.0.2 y anteriores. La vulnerabilidad reside en un error no especificado en el paquete "DBMS_EXPORT_EXTENSION". Un atacante local podría obtener privilegios de administrador (DBA) mediante la inyección de comandos PL/SQL. Esta vulnerabilidad está relacionada con la vulnerabilidad DB05 publicada en el boletín de Abril de Oracle (ALTAIR-604-02335). |
|
Solución |
|
Actualmente no existe ningún parche disponible. | |
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2006-2081 CVE-2006-2505 |
BID | 17699 |
Recursos adicionales |
|
[Full-disclosure] Recent Oracle exploit is _actually_ an 0day with no patch http://lists.grok.org.uk/pipermail/full-disclosure/2006-April/045540.html Secunia (SA19860) http://secunia.com/advisories/19860/ |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2006-04-28 |
1.1 | CVE añadido. Otras referencias añadidas. | 2006-06-20 |