Vulnerabilidad en los privilegios de usuario en Oracle9i

Se ha descubierto una vulnerabilidad en Oracle9i Database Server por la
cual un usuario malicioso puede obtener acceso no autorizado a datos en
el servidor de base de datos Oracle9i.
El problema reside en la posibilidad de crear un usuario en la base de
datos con privilegios limitados de forma que pueda acceder a datos
privilegiados mediante el uso de consultas SQL con outer joins. De esta
forma el atacante podrá conseguir datos que se encuentren almacenados en
la base de datos.

Esta vulnerabilidad sólo afecta a Oracle9i, ninguna de las versiones
anteriores de Oracle se ven afectadas. Oracle 9i incluye el incluye la
nueva sintaxis outer join de ANSI. Oracle continúa soportando la antigua
sintaxis SQL pero en la nueva sintaxis existe un problema de seguridad
que permite a cualquier usuario la visualización de los datos del
servidor.

Oracle ofrece un parche para cubrir esta vulnerabilidad bajo el número
de bug 2121935 disponible en http://metalink.oracle.com

Más información:

Securiteam:
http://www.securiteam.com/securitynews/5PP0L0A6UO.html

Aviso de seguridad de Oracle:
http://otn.oracle.com/deploy/security/pdf/sql_joins_alert.pdf

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

• View all posts by Hispasec →
• Blog