Veszélyes Oracle hiba – az operációs rendszert is érintheti

Egy nem megfelelően ellenőrzött puffer okozza a hibát, mely abban az eljárásban rejlik, amivel a felhasználók kapcsolatot hozhatnak létre két Oracle adatbázis között. Mivel a felhasználók többségének jogában áll végrehajtani egy ˝create database link˝ taskot, ezért széles körben érintettek az Oracle szoftverek.

A hiba kihasználásához arra van szükség, hogy a támadó egy túlságosan hosszú paraméterezést küldjön a kapcsolódó sztringgel, amely az adatbázis kapcsolatot hozza létre. Ennek következményeképp ugyanis azonnal veremtúlcsordulás következik be, aminek eredményeként a veremben levő címek felülíródnak. Ez pedig lehetőséget nyújt a támadó számára, hogy a sérülékeny szerveren bármilyen kódsorozatot futtasson. Windowsos operációs rendszer alatt ez nemcsak az adatbázist, hanem magát a rendszert is érintheti.

A javítás már letölthető.

Érintett rendszerek

Oracle 9i 1
Oracle 9i 2
Oracle 8i x
Oracle 8 x
Oracle 7.3.x