08.11.2007 - 15:51:23

Sicherheitslücke in Oracle 10gR2 Datenbank

In Oracles Datenbank System Version 10g Release 2 wurde eine Sicherheitslücke (CVE-2007-4517) entdeckt. Der Fehler erlaubt es einem authentifizierten Remotebenutzer mit einer gültigen Session beliebigem Code im Kontext der Datenbank auszuführen. Die Ursache eines möglichen Pufferüberlaufs steckt dabei in der Prozedure XDB.XDB_PITRIG_PKG.PITRIG_DROPMETADATA, an die die Argumente OWNER und NAME übergeben werden. Ist die kombinierte Länge beider Argumente zu gross, kommt es aufgrund einer fehlerhaften Längenüberprüfung zu einem Puffer overflow. Nach Aussagen von Oracle soll das Problem bei einem der nächsten kritischen Patch Updates (CPU) behoben werden. Einen Workaround um das Problem kurzfristig zu beseitigen gibt es nicht.

Rubrik: Datenbanken/Oracle - Autor: Janbyte

RSS-Feed | TrackBack

keine Kommentare » Kommentar schreiben »

» RSS Feed dieses Posts

Kommentar schreiben:

Sie müssen angemeldet sein, um einen Kommentar schreiben zu können.