 |
 |
|
|
|
|||||||||||||||||||||||||
| ||
| Estamos divulgando para os assinantes do segurança digital um novo ataque que pode ser realizado no Oracle. Em breve, nossos assinantes estarão recebendo matérias sobre o relatório do FBI e as invasões realizadas no mês de julho/2003. Um forte abraço, Autor: Denny Roger | ||
| TOPO | ||
| ||
| Nome: Oracle Extproc Buffer Overflow Sistemas Afetados: A maioria das plataformas OS; Oracle9i Database Release 2 e 1, 8i, Perigo: Risco alto Site do fabricante: http://www.oracle.com Autores: David Litchfield (david@ngssoftware.com) Chris Anley (chris@ngssoftware.com) Data: 25 de julho 2003 Descrição O RDBMS do Oracle, principal pacote do servidor de banco de dados, é um suporte de armazenamento de pacotes e procedimentos utilizado através do PL/SQL. Estes pacotes e procedimentos podem ser estendidos, permitindo assim fazer chamadas para bibliotecas do sistema operacional. Qualquer biblioteca carregada deste modo é finalizada assim por um processo externo para o principal RDBMS, isto é extproc. Extproc é uma vulnerabilidade clássica de buffer overflow. Isto pode ser explorado remotamente por um atacante. Nenhum usuário ID ou senha é necessário para realizar o ataque. Este ataque já é conhecido desde o dia 30 de setembro de 2002, porém, só agora a Oracle liberou a documentação para a correção do código. Está disponível também na Internet uma ferramenta que localiza servidores com essa vulnerabilidade. A Batori Security recomenda proteger o Banco de Dados utilizando-se um Firewall. A Batori Security recomenda que todas as empresas que utilizam o Banco de Dados da Oracle realizem o seguinte procedimento: http://otn.oracle.com/deploy/security/pdf/2003alert57.pdf Autor: Denny Roger | ||
| TOPO |