Se ha descubierto una vulnerabilidad en Oracle9i Database Server por la
cual un usuario malicioso puede obtener acceso no autorizado a datos en
el servidor de base de datos Oracle9i.
El problema reside en la posibilidad de crear un usuario en la base de
datos con privilegios limitados de forma que pueda acceder a datos
privilegiados mediante el uso de consultas SQL con outer joins. De esta
forma el atacante podrá conseguir datos que se encuentren almacenados en
la base de datos.
Esta vulnerabilidad sólo afecta a Oracle9i, ninguna de las versiones
anteriores de Oracle se ven afectadas. Oracle 9i incluye el incluye la
nueva sintaxis outer join de ANSI. Oracle continúa soportando la antigua
sintaxis SQL pero en la nueva sintaxis existe un problema de seguridad
que permite a cualquier usuario la visualización de los datos del
servidor.
Oracle ofrece un parche para cubrir esta vulnerabilidad bajo el número
de bug 2121935 disponible en http://metalink.oracle.com
antonior@hispasec.com
Más información:
Securiteam:
http://www.securiteam.com/securitynews/5PP0L0A6UO.html
Aviso de seguridad de Oracle:
http://otn.oracle.com/deploy/security/pdf/sql_joins_alert.pdf
Deja un comentario