Rynho Zeros Web

Publicidad

CERT® Coordination Center advierte de la
existencia de múltiples problemas de seguridad – la mayoría por
desbordamientos de buffer – en Oracle9i Application Server, Oracle9i Database
y Oracle8i Database.


Las implicaciones, en materia de seguridad, de las referidas
vulnerabilidades son críticas, ya que su explotación podría
permitir a un
atacante leer, modificar, o borrar la información almacenada en las bases
de
datos Oracle. También posibilita que se produzca la denegación de
servicios,
e incluso la ejecución de código arbitrario en el servidor.

Se recomienda a todos los usuarios cuyos sistemas puedan verse afectados(*)
que apliquen los parches correspondientes. Hasta entonces, CERT®
Coordination Center aconseja ejecutar los servicios de Oracle con los
mínimos privilegios, eliminar los que sean innecesarios, y filtrar el
acceso
a los mismos para prevenir conexiones indiscriminadas y no autorizadas.

Mientras tanto se sugiere:

- Deshabilitar los servicios Oracle innecesarios.
– Ejecutar los servicios Oracle con los menores privilegios posibles.
– Restringir el acceso desde la red a los servicios Oracle.

Los parches se puede obtener de la página de soporte a clientes desde:

http://metalink.oracle.com/

Las múltiples fallas detectadas se describen (en inglés) desde:

Desbordamiento de búfer en el parámetro DIRECTORY de Oracle9i
Database Server:

http://otn.oracle.com/deploy/security/pdf/2003alert48.pdf

Desbordamiento de búfer en la función TZ_OFFSET de Oracle9i Database
Server:

http://otn.oracle.com/deploy/security/pdf/2003alert49.pdf

Desbordamiento de búfer en la función TO_TIMESTAMP_TZ de Oracle9i
Database Server:

http://otn.oracle.com/deploy/security/pdf/2003alert50.pdf

Desbordamiento de búfer en ORACLE.EXE de Oracle9i Database Server:

http://otn.oracle.com/deploy/security/pdf/2003alert51.pdf

Dos vulnerabilidades en Oracle9i Application Server:

http://otn.oracle.com/deploy/security/pdf/2003alert52.pdf

Fuente:

http://www.cert.org/advisories/CA-2003-05.html

(*) Los sistemas afectados son:
– Oracle9i Database (Release 1 y 2)
– Oracle8i Database v 8.1.7
– Oracle8 Database v 8.0.6
– Oracle9i Application Server (Release 9.0.2 y 9.0.3)

Articulo obtenido de los boletines Oxygen3 y VSAntivirus.
Redactado por XyborG

Publicidad

Otros articulos que te pueden interesar

• Detectan serias vulnerabilidades en software de Oracle
• Múltiples vulnerabilidades en productos de Oracle
• Parches de actualización para 85 vulnerabilidades en productos Oracle
• Oracle: Múltiples Vulnerabilidades
• Múltiples vulnerabilidades en productos de Oracle