Security Lab

Выполнение произвольного кода в Oracle 10g

Дата публикации:24.12.2004
Всего просмотров:1268
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: Oracle 10g

Описание:
Обнаружено переполнение буфера в Oracle 10g. Удаленный атакующий может вызвать отказ в обслуживании или выполнить произвольный код на уязвимой системе.

Уязвимость обнаружена при обработке длины имени подгружаемой библиотеки в extproc. Проблема состоит в том, что extproc проверяет длину строки лишь вначале операции. Атакующий может в качестве имени библиотеки указать переменную окружения, что позволит ему пройти начальную проверку по длине имени библиотеки и при дальнейшей обработке этой переменной вызвать переполнение буфера. Атакующий может выполнить произвольный код на уязвимой системе.

URL производителя: oracle.com

Решение: Установите обновление с сайта :
http://metalink.oracle.com

Ссылки: Oracle 10g extproc buffer overflow