Desbordamiento de búfer en Oracle
Julio 29, 03 by adminRecientemente ha aparecido una vulnerabilidad que afecta al sistema gestor de bases de datos Oracle. El problema se encuentra en el paquete PL/SQL, concretamente en ExtProc, el cual es usado para realizar llamadas al sistema operativo.
Un atacante podrÃa aprovechar esta vulnerabilidad para conseguir un desbordamiento de búfer y una posterior ejecución de código arbitrario. Para ello, tiene que autentificarse en Oracle (tener una cuenta de acceso al menos) y tener permisos para poder ejecutar las sentencias CREATE LIBRARY o CREATE ANY LIBRARY. Para que los usuarios puedan comprobar si disponen de este permiso, pueden ejecutar la siguiente sentencia:
select grantee, privilege from dba_sys_privs where privilege like ‘CREATE%LIBRARY’;
Las versiones afectadas son:
- Oracle Oracle8i 8.1.5
- Oracle Oracle8i 8.1.6
- Oracle Oracle8i 8.1.7
- Oracle Oracle8i 8.1.7 .4
- Oracle Oracle9i 9.0.1 .4
- Oracle Oracle9i Release 2 9.2 .1
- Oracle Oracle9i Release 2 9.2 .2
- Oracle Oracle9i Release 2 9.2 .3
Sun ha sacado parches para las siguientes versiones:
• Oracle 9i Release 2, version 9.2.3
• Oracle 9i Release 2, version 9.2.2
Más información sobre esta vulnerabilidad en http://otn.oracle.com/deploy/security/pdf/2003alert57.pdf
