Se ha encontrado una vulnerabilidad en Oracle por la que un usuario
remoto autenticado podría realizar cambios no autorizados en el
contenido de una base de datos.
Si un usuario remoto posee privilegios de SELECT, es posible que pueda
insertar, actualizar o borrar datos de la tabla mediante la creación o
uso de una vista especialmente formada. El impacto específico en la
base de datos depende en gran medida del diseño de la aplicación.
Existe prueba de concepto que aprovecha la vulnerabilidad. El fallo
afecta a las versiones 9.2.0.0 y 10.2.0.3 aunque otras podrían verse
afectadas. Por otra parte, Oracle no ha publicado ningún parche o
actualización oficial.
Se recomienda depurar el rol «connect» y quitar los privilegios de
«CREATE VIEW» o «CREATE DATABASE LINK». También es posible mitigar el
problema quitando la primary key de la tabla base, pero esto influiría
en el rendimiento. Oracle recomienda además crear vistas con la opción
«WITH CHECK OPTION».
laboratorio@hispasec.com
Más información:
Oracle Database Lets Remote Authenticated Low Privilege Users Make Unauthorized Modifications on a Base Table
http://securitytracker.com/alerts/2006/Apr/1015886.html
