El nuevo parche que lanza Oracle viene a cubrir un bug por el cual las
bases de datos bajo plataformas Unix quedaban vulnerables al ataque de
usuarios maliciosos.
La instalación de la opción denominada “intelligent Agent” de una base de
datos daba acceso a la aplicación oratclsh, en la cual se han encontrado
algunos defectos que posibilitan el ataque Oratclsh proporciona acceso
al lenguaje de scripts TCL y proporciona al usuario malicioso una vía
para lograr capacidades administrativas.
No es necesario haber iniciado el agente para abrir el agujero, basta
con su instalación para que este programa quede accesible, y pueda
brindar a un atacante permisos de administración con tan sólo tres
comandos. Esto es debido a que Oratclsh se ejecuta con los permisos
de administración, por lo que cualquier usuario no tendrá ninguna
limitación para llevar a cabo las acciones maliciosas.
Las versiones afectadas son Oracle8.03, 8.04, 8.05 y 8.1.5. En tales
casos es recomendable no instalar la opción “Intelligent Agent” y en
caso de tenerla instalada o bien proceder con el parche de Oracle o
borrar directamente la aplicación oratclsh o eliminar el bit de suid.
Más información:
Oracle
Bugtraq. Aviso vulnerabilidad
Bugtraq. Aviso Oracle, faq y parche
Deja un comentario