Benvenuto su WolfOtakar.Com

Benvenuto su WolfOtakar.Com
Entra nella chat del nostro portale!Per chiarimenti e spiegazioni!

Multiple vulnerabilità nei prodotti Oracle  
04/20/2006
 
Sono state riscontrate alcune vulnerabilità in diversi prodotti Oracle, alcune di queste dall'impatto sconosciuto, ed altre che potrebbero essere sfruttate per eseguire attacchi SQL injection o compromettere un sistema vulnerabile.

Al momento sono stati rilasciati solo i seguenti dettagli per le vulnerabilità riscontrate:

1)Un errore di validazione dell'input nel componente Log Miner ('dbms_logmnr_session' package) può essere sfruttato per manipolare le query SQL attraverso il passaggio di codice SQL arbitrario.

2)Un boundary error nella procedura 'VERIFY_LOG' (fornita dal package 'sys.dbms.snapshot_utl') può essere sfruttato da un utente malevolo per causare un buffer overflow ed eseguire codice arbitrario sul sistema affetto.

 


Soluzione
========
Applicare le patch disponibili al seguente indirizzo:

http://www.oracle.com/technology/deploy/security/pdf/cpuapr2006.html


NOTA: Le patch per la vulnerabilità 2) non saranno disponibili per tutte le piattaforme fino al 1 Maggio 2006. Restringere l'accesso al package 'sys.dbms_snapshot_utl' fino a quando le patch non saranno disponibili.

 

Riferimenti
========

Oracle:
http://www.oracle.com/technology/deploy/security/pdf/cpuapr2006.html

Alexander Kornbrust:
http://www.red-database-security.com/advisory/oracle_sql_injection_dbms_logmnr_session.html

http://www.red-database-security.com/advisory/oracle_cpu_apr_2006.html

Argeniss:
http://www.argeniss.com/research/ARGENISS-ADV-040603.txt

Other References:
US-CERT VU#139049:
http://www.kb.cert.org/vuls/id/139049

US-CERT VU#240249:
http://www.kb.cert.org/vuls/id/240249

US-CERT VU#241481:
http://www.kb.cert.org/vuls/id/241481

US-CERT VU#443265:
http://www.kb.cert.org/vuls/id/443265

US-CERT VU#452681:
http://www.kb.cert.org/vuls/id/452681

US-CERT VU#549146:
http://www.kb.cert.org/vuls/id/549146

US-CERT VU#619194:
http://www.kb.cert.org/vuls/id/619194

US-CERT VU#797465:
http://www.kb.cert.org/vuls/id/797465

US-CERT VU#824833:
http://www.kb.cert.org/vuls/id/824833

US-CERT VU#879041:
http://www.kb.cert.org/vuls/id/879041

US-CERT VU#940729:
http://www.kb.cert.org/vuls/id/940729

Secunia:
http://secunia.com/advisories/19712/
 

   

Home Page