| Nowinki IT |
|
Wykryto dziurę w różnych wersjach serwera baz danych Oracle, umożliwiającą atakującemu wykonanie dowolnego kodu, modyfikację zawartości baz danych, lub przeprowadzenie ataku denial of service.
Dziurę, polegającą na przepełnieniu bufora, znaleziono w kodzie napisanym w celu logowania prób wykorzystania innej, wcześniej wykrytej dziury. Według Oracle, tylko uwierzytelniony wcześniej użytkownik, z odpowiednimi przywilejami, jest w stanie wykorzystać dziurę. Z kolei firma NGSSoftware, która wykryła dziurę twierdzi, że jest ją w stanie wykorzystać dowolny, zdalny użytkownik, oraz, że taką demonstrację ataku przeprowadzono już publicznie. Dziura dotyczy Oracle9i Release 2, Oracle9i Release 1 i różnych wersji Oracle 8i. CERT/CC Vulnerability Note VU#936868: tutaj Oracle Security Alert 57: tutaj NGSSoftware Advisory: tutaj |