Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Vulnerabilidades / Desbordamiento de búfer en Oracle iSQL*Plus

Desbordamiento de búfer en Oracle iSQL*Plus

Por Leave a Comment

Una vulnerabilidad de desbordamiento de búfer en el componente Oracle
iSQL*Plus de Oracle 9 puede llegar a comprometer la integridad del
servidor.

Oracle iSQL*Plus es una aplicación basada en web que permite a los
usuarios lanzar consultas contra una base de datos. Se instala con el
servidor de bases de datos Oracle 9 y corre por encima de apache. El
módulo iSQL*Plus es vulnerable a una vulnerabilidad de desbordamiento
de búfer.

La aplicación web iSQL*Plus requiere que los usuarios se autentifiquen
para acceder. Después de acceder a la url por defecto, «/isqlplus» se
presenta una pantalla de conexión. Mediante el envío de un parámetro
de identificación de usuario excesivamente largo, se produce un
desbordamiento de un búfer interno provocando la sobreescritura de la
dirección de retorno. Esto puede permitir al atacante la ejecución de
código en el contexto de seguridad del servidor web.

Oracle ha publicado parches para evitar este problema que pueden
descargarse desde el sitio Oracle Metalink http://metalink.oracle.com/
con el número de identificación 2581911.

Antonio Ropero
antonior@hispasec.com

Más información:

Oracle iSQL*Plus buffer overflow
http://www.nextgenss.com/advisories/ora-isqlplus.txt

Buffer Overflow in iSQL*Plus (Oracle9i Database Server)
http://otn.oracle.com/deploy/security/pdf/2002alert46rev1.pdf

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.