int(213)

Vulnerability Bulletins

Desbordamientos de búfer en Oracle Database Server

Vulnerability classification
Property Value
Confidence level Oficial
Impact Obtener acceso
Dificulty Avanzado
Required attacker level Acceso remoto sin cuenta a un servicio estandar

System information
Property Value
Affected manufacturer Comercial Software
Affected software Oracle8 8.0.6, 8i 8.1.7 .1, 8i 8.1.7, 9i 9.0, 9i 9.0.1 .3, 9i 9.0.1 .2, 9i 9.0.1, 9i 9.0.2, 9i Release 2, 9.2 .2, 9i Release 2 9.2 .1

Description
Oracle ha informado recientemente de la aparición de diversas vulnerabilidades de desbordamiento de búfer en su aplicación Oracle Database Server. Todas ellas podrían ser aprovechadas por un atacante remoto para ejecutar código arbirtrario en el contexto de seguridad del servidor.

Las funciones que se ven afectadas por estas vulnerabilidades son: BFILENAME (al recibir un argumento DIRECTORY manipulado), TZ_OFFSET, TO_TIMESTAMP_TZ y el binario ORACLE.EXE .

Solution


Actualización de software

Dirígase al sitio de descarga de parches para obtener actualizaciones para los siguientes identificadores
2642117
2642267
2642439
2620726
Oracle - descarga de parches
http://metalink.oracle.com

Standar resources
Property Value
CVE CAN-2003-0095
CAN-2003-0096
BID

Other resources
Oracle Security Alert #48
http://otn.oracle.com/deploy/security/pdf/2003alert48.pdf

Oracle Security Alert #49
http://otn.oracle.com/deploy/security/pdf/2003alert49.pdf

Oracle Security Alert #50
http://otn.oracle.com/deploy/security/pdf/2003alert50.pdf

Oracle Security Alert #51
http://otn.oracle.com/deploy/security/pdf/2003alert51.pdf

Version history
Version Comments Date
1.0 Aviso emitido 2003-02-18
Ministerio de Defensa
CNI
CCN
CCN-CERT