int(1238)

Boletines de Vulnerabilidades


Escalada de privilegios en Oracle mediante extproc

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Aumento de privilegios
Dificultad Principiante
Requerimientos del atacante Acceso remoto con cuenta

Información sobre el sistema

Propiedad Valor
Fabricante afectado Comercial Software
Software afectado Oracle 9i
Oracle 10g

Descripción

Se ha encontrado una vulnerabilidad en el servidor de bases de datos Oracle, que permite a cualquier usuario del sistema utilizar los recursos del usuario Oracle.

El fallo consiste en que el uso de "extproc", para ejecutar procedimientos externos, debería permitirse sólo al usuario Oracle, pero se permite también su uso a los usuarios locales del sistema.

Solución

El fabricante considera que este comportamiento no compromete la seguridad de los sistemas, y por lo tanto no existe parche al respecto.

Identificadores estándar

Propiedad Valor
CVE
BID

Recursos adicionales

Bugtraq Archive - Oracle extproc local command execution
http://www.securityfocus.com/archive/1/385327

NGSSoftware - Multiple High Risk Vulnerabilities in Oracle 8i, 9i and 10g
http://www.nextgenss.com/advisories/oracle-01.txt

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido. 2004-12-24

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT