Сервер базы данных ORACLE уязвим к годному для удаленного использования переполнению буфера. Уязвимость может эксплуатироваться без предварительной авторизации. 

Переполнение обнаружено в опознавательном процессе
сервера базы данных ORACLE. Представляя длинное имя пользователя при попытке зарегистрироваться на сервере базы данных, нападающий может переполнить стековый буфер и выполнить произвольный код с привилегиями процесса базы данных. На UNIX/LINUX системах это учетная запись
Oracle, на Windows системах – Local System. Поскольку большинство клиентских приложений для ORACLE обрезают длинное имя пользователя, для эксплуатации этой уязвимости нападающий должен создать собственного клиента. Проверить уязвимость можно с использованием утилиты LOADPSP, расположенной в "bin" каталоге в OracleHomeInstallDirectory. На
Windows системах запустите: 

C:\ora9ias\BIN>loadpsp -name -user LONGUSERNAME/tiger@iasdb myfile

Уязвимость обнаружена в Oracle9i Database Release 2, 9i Release 1, 8i, 8.1.7, 8.0.6 для всех платформ.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии