漏洞信息详情
Oracle数据库服务器EXTPROC远程缓冲区溢出漏洞
- CNNVD编号:CNNVD-200308-138
- 危害等级: 高危
- CVE编号: CVE-2003-0634
- 漏洞类型: 边界条件错误
- 发布时间: 2003-07-26
- 威胁类型: 远程
- 更新时间: 2006-05-01
- 厂 商: oracle
- 漏洞来源: NGSSoftware Insigh...
漏洞简介
Oracle Database是一款商业性质大型数据库系统。 Oracle数据库使用EXTPROC时对库名缺少正确的缓冲区边界检查,远程攻击者可以利用这个漏洞对数据库服务进行缓冲区溢出攻击,可能以数据库进程权限在系统上执行任意指令。 Oracle可以通过调用操作系统的库来扩展存储过程,任何库可被extproc装载。NGSSoftware发现一个漏洞,Oracle可以允许攻击者迫使extproc装载任何操作系统库和执行任何功能。攻击者不需要用户ID或密码。Oracle对此漏洞进行了跟踪和修复,除非本地机器调用extproc来装载库,否则远程的装载库操作将会被记录并拒绝,但是,这个记录过程存在典型的缓冲区溢出攻击,通过提供超长库名,当记录时会发生缓冲区溢出,通过精心构建提交数据,在Windows系统下,可以LOCAL SYSTEM权限在系统上执行任意指令,而在Unix系统下,将以\'\'Orace\'\'用户权限执行。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* Oracle建议用户限制用户对CREATE LIBRARY和CREAT ANY LIBRARY的使用。要检查你是否拥有CREATE LIBRARY和CREAT ANY LIBRARY使用权力,可执行如下操作:
select grantee, privilege from dba_privilege where privilege like 'CREATE%LIBRARY'; 厂商补丁: Oracle ------ 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.oracle.com
参考网址
来源:US-CERT Vulnerability Note: VU#936868 名称: VU#936868 链接:http://www.kb.cert.org/vuls/id/936868 来源: BID 名称: 8267 链接:http://www.securityfocus.com/bid/8267 来源: BUGTRAQ 名称: 20030725 Oracle Extproc Buffer Overflow (#NISR25072003) 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=105914979629857&w=2 来源: XF 名称: oracle-extproc-bo(12721) 链接:http://xforce.iss.net/xforce/xfdb/12721 来源: otn.oracle.com 链接:http://otn.oracle.com/deploy/security/pdf/2003alert57.pdf 来源: NTBUGTRAQ 名称: 20030725 Oracle Extproc Buffer Overflow (#NISR25072003) 链接:http://marc.theaimsgroup.com/?l=ntbugtraq&m=105915485303327&w=2 来源: BUGTRAQ 名称: 20030725 question about oracle advisory 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=105916455814904&w=2 来源: VULNWATCH 名称: 20030912 Update to the Oracle EXTPROC advisory 链接:http://archives.neohapsis.com/archives/vulnwatch/2003-q3/0105.HTML
受影响实体
- Oracle Oracle9i:Client_9.2.0.1
- Oracle Oracle9i:Client_9.2.0.2
- Oracle Oracle9i:Standard_9.2.0.2
- Oracle Oracle9i:Standard_9.2.0.1
- Oracle Oracle9i:Standard_9.0.2
补丁
暂无
评论