Miembros de
Boletines de Vulnerabilidades |
Inyección de comandos SQL en paquete "DBMS_EXPORT_EXTENSION" en Oracle |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Probable |
| Impacto | Aumento de privilegios |
| Dificultad | Principiante |
| Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | Comercial Software |
| Software afectado | Oracle Database 10g <= 10.2.0.2 |
Descripción |
|
|
Se ha descubierto una vulnerabilidad en Oracle Database 10g versión 10.2.0.2 y anteriores. La vulnerabilidad reside en un error no especificado en el paquete "DBMS_EXPORT_EXTENSION". Un atacante local podría obtener privilegios de administrador (DBA) mediante la inyección de comandos PL/SQL. Esta vulnerabilidad está relacionada con la vulnerabilidad DB05 publicada en el boletín de Abril de Oracle (ALTAIR-604-02335). |
|
Solución |
|
| Actualmente no existe ningún parche disponible. | |
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CVE-2006-2081 CVE-2006-2505 |
| BID | 17699 |
Recursos adicionales |
|
|
[Full-disclosure] Recent Oracle exploit is _actually_ an 0day with no patch http://lists.grok.org.uk/pipermail/full-disclosure/2006-April/045540.html Secunia (SA19860) http://secunia.com/advisories/19860/ |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2006-04-28 |
| 1.1 | CVE añadido. Otras referencias añadidas. | 2006-06-20 |