Уязвимость в Oracle iSQL*Plus

05.11.2002 | 15:27
Группой NGSSoftware обнаружена серьезная уязвимость в Oracle iSQL*Plus - веб-приложении, позволяющем пользователям формировать запросы к базе данных.

Уязвимость присутствует в базе данных Oracle 9i R1,2 всех ОС. Приложение инсталлируется вместе с Oracle 9 и запускается "поверх" Apache. Обнаруженная уязвимость носит характер DoS (отказ в обслуживании).

iSQL*Plus требует от пользователя до обработки запроса произвести вход в систему. После доступа к URL по умолчанию от имени пользователя "/isqlplus" предоставляется экран авторизации. При посылке веб-серверу слишком длинного параметра ID пользователя происходит переполнение внутреннего буфера на стеке с перезаписью сохраненного адреса возврата в программу. Это может позволить удаленному злоумышленнику запустить произвольный код в контексте безопасности веб-сервера (пользователь "SYSTEM" в Win-системах или пользователь "oracle" в других ОС). Взломанный таким образом веб-сервер может в дальнейшем использоваться для проведения атак на сервер базы данных.

NGSSoftware предупредила Oracle 18 октября и на прошлой неделе Oracle были выпущены заплатки.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://uinc.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код