Múltiples vulnerabilidades en bases de datos Oracle

Se ha anunciado la existencia de múltiples vulnerabilidades en Oracle Database 8i y 9i que pueden permitir a un atacante la ejecución de código en los servidores afectados.

El primero de los problemas reside en un desbordamiento de búfer en oracle.exe. Los usuarios que puedan enviar grandes cantidades de datos a ciertas llamadas de funciones en oracle.exe podrán provocar el desbordamiento de búfer, éste podría permitir la ejecución de código arbitrario con los privilegios del proceso oracle.exe.

Existen otros problemas de desbordamiento de búfer en las funciones TO_TIMESTAMP_TZ y TZ_OFFSET, así como en el parámetro DIRECTORY de la función BFILENAME, todos ellos podrán ser empleados para la ejecución de código arbitrario.

Para evitar estos problemas se recomienda la instalación de los parches 2620726, 2642439, 2642267 y 2642117 disponibles en http://metalink.oracle.com/

Más información:

Buffer Overflow in ORACLE.EXE binary of Oracle9i Database Server
http://otn.oracle.com/deploy/security/pdf/2003alert51.pdf

Buffer Overflow in TO_TIMESTAMP_TZ function of Oracle9i Database Server
http://otn.oracle.com/deploy/security/pdf/2003alert50.pdf

Buffer Overflow in TZ_OFFSET function of Oracle9i Database Server
http://otn.oracle.com/deploy/security/pdf/2003alert49.pdf

Buffer Overflow in DIRECTORY parameter of Oracle9i Database Server
http://otn.oracle.com/deploy/security/pdf/2003alert48.pdf

Acerca de Hispasec

Hispasec Ha escrito 7093 publicaciones.

• View all posts by Hispasec →
• Blog