Удаленное переполнение буфера в Oracle Database

05.05.2003 | 15:23
Классическое переполнение стека обнаружено в базе данных Oracle. Удаленный атакующий может получить полный контроль над процессом Oracle.

Как сообщается, переполнение происходит в 'CREATE DATABASE LINK' запросе при использовании чрезмерно длинного параметра. По умолчанию, 'CREATE DATABASE LINK' может выполнять пользователь с "CONNECT" ролью, которую имеют большинство низкопривилегированных учетных записей Oracle, типа SCOTT и ADAMS. В результате, атакующий с минимальными привилегиями может получить SYSTEM привилегии на Windows системе и привилегии пользователя 'oracle' на UNIX системах.

Уязвимость обнаружена в Oracle9i Database Release 2 and 1, 8i all releases, 8 all releases, 7.3.x.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.securitylab.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код