Una vulnerabilidad de desbordamiento de búfer en el componente Oracle
iSQL*Plus de Oracle 9 puede llegar a comprometer la integridad del
servidor.
Oracle iSQL*Plus es una aplicación basada en web que permite a los
usuarios lanzar consultas contra una base de datos. Se instala con el
servidor de bases de datos Oracle 9 y corre por encima de apache. El
módulo iSQL*Plus es vulnerable a una vulnerabilidad de desbordamiento
de búfer.
La aplicación web iSQL*Plus requiere que los usuarios se autentifiquen
para acceder. Después de acceder a la url por defecto, “/isqlplus” se
presenta una pantalla de conexión. Mediante el envío de un parámetro
de identificación de usuario excesivamente largo, se produce un
desbordamiento de un búfer interno provocando la sobreescritura de la
dirección de retorno. Esto puede permitir al atacante la ejecución de
código en el contexto de seguridad del servidor web.
Oracle ha publicado parches para evitar este problema que pueden
descargarse desde el sitio Oracle Metalink http://metalink.oracle.com/
con el número de identificación 2581911.
antonior@hispasec.com
Más información:
Oracle iSQL*Plus buffer overflow
http://www.nextgenss.com/advisories/ora-isqlplus.txt
Buffer Overflow in iSQL*Plus (Oracle9i Database Server)
http://otn.oracle.com/deploy/security/pdf/2002alert46rev1.pdf
Deja un comentario