[SECURITY-L] Descoberta uma grave falha no Oracle iSQL*Plus

[Daniela Regina Barbetti Silva]

----- Forwarded message from Caio Souza Mendes <caio_sm em yahoo.com.br> -----

From: Caio Souza Mendes <caio_sm em yahoo.com.br>
Subject: Descoberta uma grave falha no Oracle iSQL*Plus 
To: daniela em ccuec.unicamp.br
Date: Mon, 4 Nov 2002 17:27:05 -0300 (ART)

Notícia

:: Descoberta uma grave falha no Oracle iSQL*Plus 
:: 04/11/2002 @ 17:23:41 




Foi descoberta uma grave falha no Oracle9i Database no qual pode permitir um
atacante executar comandos remotamente no servidor, podendo comprometer as 
informações na base de dados e até mesmo o sistema por completo. 

O problema se encontra através do logon remoto no Oracle iSQL*PLUS, que é 
acessado pela url /isqlplus, onde é necessário o usuário se logar. Através 
de um buffer não verificado (buffer overflow) no parâmetro de ID do usuário, 
é possível para um atacante executar comandos remotamente no servidor através
da conta 'oracle', utilizado na maioria dos sistemas, ou através do usuário 
SYSTEM em sistemas Windows. 

A Oracle já disponibilizou a correção para este problema, sendo que a 
vulnerabilidade afeta o Oracle9i Database, Release 1, Release 9.0.x 
(Todas versões) e o Oracle9i Database, Release 2, Releases 9.2.0.1 
and 9.2.0.2. 

Maiores informações podem ser obtidas através do endereço abaixo. 

[Oracle Security Alert #46] 
http://otn.oracle.com/deploy/security/pdf/2002alert46rev1.pdf 

 

Fonte: Telsinc Security - http://www.telsincsecurity.com.br/?menu=noticia&notid=254


----- End forwarded message -----