[Generic/Oracle] Kritische Schwachstellen in Oracle
(2003-02-17 17:31:04.827476+00)
Quelle:
http://cert.uni-stuttgart.de/archive/bugtraq/2003/02/msg00188.htmlVerschiede Releases des Oracle Database Servers weisen gravierende Schwachstellen auf, durch die über eine Netzwerkverbindung ohne Authentifizierung beliebiger Programmcode ausgeführt werden kann.
Betroffene Systeme
- Oracle9i Database Release 2, 9i Release 1, 8i, 8.1.7, 8.0.6 (auf allen Plattformen)
Einfallstor
Netzwerkverbindung auf die Oracle-Datenbank
Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des Oracle Database Servers (auf Microsoft-Windows-Plattformen handelt es sich dabei um SYSTEM-Privilegien)
Typ der Verwundbarkeit
buffer overflow bug
Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Verschiede Releases des Oracle Database Server weisen gravierende Schwachstellen auf, durch die ohne Authentifizierung über eine Netzwerkverbindung beliebiger Programmcode mit den Privilegien des Oracle-Dienstes (auf Microsoft-Windows-Plattformen sind dies SYSTEM-Rechte) ausgeführt werden können. Eine Schwachstelle tritt auf, wenn dem Authentifizierungsmechanismus überlange Benutzernamen übergeben werden. Weitere Pufferüberlaufschwachstellen wurden in den TO_TIMESTAMP_TZ- und der TZ_OFFSET-Funktion festgestellt.
Gegenmaßnahmen
Oracle stellt teilweise Patches zur Verfügung. Detailierte Informationen entnehmen Sie bitte den Oracle Security Alerts.
Vulnerability ID
- Oracle-Bug-ID: 2620726
- Oracle-Bug-ID: 2642439
- Oracle-Bug-ID: 2602262
Weitere Information zu diesem Thema
- Oracle Security Alert #50 Buffer Overflow in TO_TIMESTAMP_TZ function of Oracle 9i Database Server
- Oracle Security Alert #51 Buffer Overflow in Oracle.exe binary of Oracle 9i Database Server
- Oracle Security Alert #52 Two Vulnerabilities in Oracle9i Application Server
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1077