Переполнение буфера в Oracle iSQL*Plus

Дата публикации:
05.11.2002
Всего просмотров:
881
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Oracle iSQL*Plus – Web приложение, позволяющая пользователям выполнять запросы к базе данных. Программа устанавливается с Oracle 9 database server + apache. В программе обнаружено классическое переполнение буфера.

Web приложение iSQL*Plus требует, чтобы пользователи подтвердили подлинность. При первом заходе на iSQL*Plus URL, пользователь должен ввести опознавательные данные. Чрезмерно длинный параметр user ID, приведет к переполнению буфера с перезаписью адреса возврата. Это позволяет атакующему выполнить произвольный код с привилегиями Web сервера. В большинстве случаев это пользователь "oracle" в UNIX системах, и "SYSTEM" пользователь в Windows системах. После взлома Web сервера, злоумышленник сможет атаковать непосредственно базу данных.

уязвимость обнаружена в Oracle Database 9i R1,2

Ссылки: Oracle iSQL*Plus buffer overflow vulnerability (#NISR04112002)

или введите имя

CAPTCHA