Vulnerability Bulletins |
Escalada de privilegios en Oracle mediante extproc |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Aumento de privilegios |
| Dificulty | Principiante |
| Required attacker level | Acceso remoto con cuenta |
System information |
|
| Property | Value |
| Affected manufacturer | Comercial Software |
| Affected software |
Oracle 9i Oracle 10g |
Description |
|
|
Se ha encontrado una vulnerabilidad en el servidor de bases de datos Oracle, que permite a cualquier usuario del sistema utilizar los recursos del usuario Oracle. El fallo consiste en que el uso de "extproc", para ejecutar procedimientos externos, debería permitirse sólo al usuario Oracle, pero se permite también su uso a los usuarios locales del sistema. |
|
Solution |
|
| El fabricante considera que este comportamiento no compromete la seguridad de los sistemas, y por lo tanto no existe parche al respecto. | |
Standar resources |
|
| Property | Value |
| CVE | |
| BID | |
Other resources |
|
|
Bugtraq Archive - Oracle extproc local command execution http://www.securityfocus.com/archive/1/385327 NGSSoftware - Multiple High Risk Vulnerabilities in Oracle 8i, 9i and 10g http://www.nextgenss.com/advisories/oracle-01.txt |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido. | 2004-12-24 |