Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-639

[Generic/Oracle9iAS] Verwundbarkeiten in ModPL/SQL
(2001-12-21 20:13:16+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/12/msg00229.html

Oracles Apache-Modul ModPL/SQL enthält einen Pufferüberlauf. Auf Windows-basierten Installationen kann es desweiteren zu einem Verzeichnissdurchlaufproblem kommen.

Betroffene Systeme

Einfallstor
HTTP-Requests

Auswirkung

  1. Einschränkung der Verfügbarkeit des Dienstes und evtl. Erlangen administrativer Privilegien durch Ausführung beliebigen Codes
    (Denial of Service bzw. remote root exploit)
  2. Überschreiben von Dateien (betrifft nur Windows Systeme)

Typ der Verwundbarkeit

  1. buffer overflow bug
  2. design-flaw

Gefahrenpotential

  1. mittel bis sehr hoch
  2. hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

  1. Das mit Oracle9iAS mitgelieferte Apache-Modul ModPL/SQL fungiert als Schnittstelle für Datenbankabfragen über den Web-Browser. Durch einen buffer overflow bug ist es möglich, beliebigen Programmcode auf dem betroffenen System auszuführen. Dies kann auf einigen Systemen zum Erlangen administrativer Privilegien verwendet werden.
  2. Auf Windows Systemen besteht eine weitere Verwundbarkeit im Zusammenhang mit dem Durchlaufen der Verzeichnisse. Diese macht es möglich einzelne Dateien zu überschreiben.

Gegenmaßnahmen

Weitere Information zu diesem Thema

(ig)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=639