漏洞信息详情
Oracle extproc远程缓冲区溢出漏洞
- CNNVD编号:CNNVD-200408-006
- 危害等级: 低危
- CVE编号: CVE-2004-1363
- 漏洞类型: 缓冲区溢出
- 发布时间: 2004-08-04
- 威胁类型: 本地
- 更新时间: 2006-08-30
- 厂 商: oracle
- 漏洞来源: David Litchfield※ ...
漏洞简介
Oracle Database是一款商业性质大型数据库系统。 Oracle 10g在通过extproc执行外部过程时存在问题,远程攻击者可以利用这个漏洞进行缓冲区溢出攻击,可能以进程权限执行任意指令。 Oracle 10g使用extproc装载库名会使用长度限制,但是长度限制可通过传递环境变量来绕过,不过环境变量在后面的扩展中会导致缓冲区溢出,如\'\'$PATH\'\'是5个字符,这个长度进行了检查,但是当扩展\'\'$PATH\'\'时就会扩展成多个字符,可能造成缓冲区溢出,此漏洞不需要任何帐户就可以触发。
漏洞公告
厂商补丁: Oracle ------ ORACLE已经发布patch (#68)来修正此漏洞:
http://metalink.oracle.com/
参考网址
来源:US-CERT Technical Alert: TA04-245A 名称: TA04-245A 链接:http://www.us-cert.gov/cas/techalerts/TA04-245A.HTML 来源:US-CERT Vulnerability Note: VU#316206 名称: VU#316206 链接:http://www.kb.cert.org/vuls/id/316206 来源: XF 名称: oracle-extproc-library-bo(18659) 链接:http://xforce.iss.net/xforce/xfdb/18659 来源: BID 名称: 10871 链接:http://www.securityfocus.com/bid/10871 来源: www.oracle.com 链接:http://www.oracle.com/technology/deploy/security/pdf/2004alert68.pdf 来源: www.ngssoftware.com 链接:http://www.ngssoftware.com/advisories/oracle23122004.txt 来源: BUGTRAQ 名称: 20041223 Oracle extproc buffer overflow (#NISR23122004A) 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110382345829397&w=2 来源: SUNALERT 名称: 101782 链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-101782-1
受影响实体
- Oracle Oracle9i:Standard_9.2.0.5
- Oracle Oracle9i:Standard_9.0.1
- Oracle Oracle9i:Standard_9.0
- Oracle Oracle9i:Standard_8.1.7
- Oracle Oracle9i:Personal_9.2.0.5
补丁
暂无
评论