[SECURITY-L] Descoberta uma grave falha no Oracle iSQL*Plus
Daniela Regina Barbetti Silva
daniela em ccuec.unicamp.br
Ter Nov 5 14:33:47 -02 2002
----- Forwarded message from Caio Souza Mendes <caio_sm em yahoo.com.br> -----
From: Caio Souza Mendes <caio_sm em yahoo.com.br>
Subject: Descoberta uma grave falha no Oracle iSQL*Plus
To: daniela em ccuec.unicamp.br
Date: Mon, 4 Nov 2002 17:27:05 -0300 (ART)
Notícia
:: Descoberta uma grave falha no Oracle iSQL*Plus
:: 04/11/2002 @ 17:23:41
Foi descoberta uma grave falha no Oracle9i Database no qual pode permitir um
atacante executar comandos remotamente no servidor, podendo comprometer as
informações na base de dados e até mesmo o sistema por completo.
O problema se encontra através do logon remoto no Oracle iSQL*PLUS, que é
acessado pela url /isqlplus, onde é necessário o usuário se logar. Através
de um buffer não verificado (buffer overflow) no parâmetro de ID do usuário,
é possível para um atacante executar comandos remotamente no servidor através
da conta 'oracle', utilizado na maioria dos sistemas, ou através do usuário
SYSTEM em sistemas Windows.
A Oracle já disponibilizou a correção para este problema, sendo que a
vulnerabilidade afeta o Oracle9i Database, Release 1, Release 9.0.x
(Todas versões) e o Oracle9i Database, Release 2, Releases 9.2.0.1
and 9.2.0.2.
Maiores informações podem ser obtidas através do endereço abaixo.
[Oracle Security Alert #46]
http://otn.oracle.com/deploy/security/pdf/2002alert46rev1.pdf
Fonte: Telsinc Security - http://www.telsincsecurity.com.br/?menu=noticia¬id=254
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L