Vulnerability Bulletins |
Inyección de comandos SQL en paquete "DBMS_EXPORT_EXTENSION" en Oracle |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Probable |
| Impact | Aumento de privilegios |
| Dificulty | Principiante |
| Required attacker level | Acceso remoto con cuenta |
System information |
|
| Property | Value |
| Affected manufacturer | Comercial Software |
| Affected software | Oracle Database 10g <= 10.2.0.2 |
Description |
|
|
Se ha descubierto una vulnerabilidad en Oracle Database 10g versión 10.2.0.2 y anteriores. La vulnerabilidad reside en un error no especificado en el paquete "DBMS_EXPORT_EXTENSION". Un atacante local podría obtener privilegios de administrador (DBA) mediante la inyección de comandos PL/SQL. Esta vulnerabilidad está relacionada con la vulnerabilidad DB05 publicada en el boletín de Abril de Oracle (ALTAIR-604-02335). |
|
Solution |
|
| Actualmente no existe ningún parche disponible. | |
Standar resources |
|
| Property | Value |
| CVE |
CVE-2006-2081 CVE-2006-2505 |
| BID | 17699 |
Other resources |
|
|
[Full-disclosure] Recent Oracle exploit is _actually_ an 0day with no patch http://lists.grok.org.uk/pipermail/full-disclosure/2006-April/045540.html Secunia (SA19860) http://secunia.com/advisories/19860/ |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2006-04-28 |
| 1.1 | CVE añadido. Otras referencias añadidas. | 2006-06-20 |