安全研究
安全漏洞
Oracle wraped过程远程缓冲区溢出漏洞
发布日期:2004-12-23
更新日期:2004-12-28
受影响系统:Oracle Oracle9i Standard Edition 9.2.0.4
Oracle Oracle9i Standard Edition 9.2.0.1
Oracle Oracle9i Personal Edition 9.2.0.4
Oracle Oracle9i Personal Edition 9.2.0.1
Oracle Oracle9i Enterprise Edition 9.2.0.4
Oracle Oracle9i Enterprise Edition 9.2.0.1
Oracle Oracle10g Application Server 9.0.4.0
Oracle Oracle10g Application Server 10.1.0.2
Oracle Oracle10g Enterprise Edition 9.0.4.0
Oracle Oracle10g Enterprise Edition 10.1.0.2
Oracle Oracle10g Personal Edition 9.0.4.0
Oracle Oracle10g Personal Edition 10.1.0.2
Oracle Oracle10g Standard Edition 9.0.4.0
Oracle Oracle10g Standard Edition 10.1.0.2
描述:
BUGTRAQ ID:
10871
CVE(CAN) ID:
CVE-2004-1371
Oracle Database是一款商业性质大型数据库系统。
Oracle 10g/9i wrapper过程存在缓冲区溢出,远程攻击者可以利用这个漏洞以进程权限执行任意指令。
PL/SQL过程可以被加密或"wrapped",通过在被使用版本9Wrapped过的过程上下文替换一个超长'token',当过程建立时在oracle服务器上就会发生基于栈的缓冲区溢出,精心构建提交数据可能以进程权限执行任意指令。
<*来源:David Litchfield (
david@nextgenss.com)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=110382570313035&w=2
*>
建议:
厂商补丁:
Oracle
------
ORACLE已经发布patch (#68)来修正此漏洞:
http://metalink.oracle.com/浏览次数:4023
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
