Vulnerability Bulletins |
Inyección de comandos SQL en paquete "DBMS_EXPORT_EXTENSION" en Oracle |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Probable |
Impact | Aumento de privilegios |
Dificulty | Principiante |
Required attacker level | Acceso remoto con cuenta |
System information |
|
Property | Value |
Affected manufacturer | Comercial Software |
Affected software | Oracle Database 10g <= 10.2.0.2 |
Description |
|
Se ha descubierto una vulnerabilidad en Oracle Database 10g versión 10.2.0.2 y anteriores. La vulnerabilidad reside en un error no especificado en el paquete "DBMS_EXPORT_EXTENSION". Un atacante local podría obtener privilegios de administrador (DBA) mediante la inyección de comandos PL/SQL. Esta vulnerabilidad está relacionada con la vulnerabilidad DB05 publicada en el boletín de Abril de Oracle (ALTAIR-604-02335). |
|
Solution |
|
Actualmente no existe ningún parche disponible. | |
Standar resources |
|
Property | Value |
CVE |
CVE-2006-2081 CVE-2006-2505 |
BID | 17699 |
Other resources |
|
[Full-disclosure] Recent Oracle exploit is _actually_ an 0day with no patch http://lists.grok.org.uk/pipermail/full-disclosure/2006-April/045540.html Secunia (SA19860) http://secunia.com/advisories/19860/ |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2006-04-28 |
1.1 | CVE añadido. Otras referencias añadidas. | 2006-06-20 |