SecurityTracker informa de la existencia de una vulnerabilidad de desbordamiento de buffer en el sistema de bases de datos Oracle, que puede permitir a un usuario local la ejecución de código para elevar sus privilegios en los sistemas afectados.
Pincha sobre "Leer más" para leer el artículo completo
IBLNEWS, PANDASOFTWARE
El problema reside en que si un usuario local pasa una cadena de entrada demasiado larga a la base de datos, podrá provocar el desbordamiento de buffer y sobreescribir el registro EIP, con lo que se podrá lograr la ejecución arbitraria de código.
Por otra parte, ya ha sido publicado un exploit de demostración de esta vulnerabilidad.
Según se anuncia, se encuentran afectados los binarios "oracle" y "oracleO" en la versión 9.2.0.4.0 en Linux y AIX, si bien otras versiones anteriores y para otras plataformas también pueden presentar este problema.
Como los programas afectados están configurados con privilegios de usuario "oracle", en caso de lograr la ejecución de código se realizará con los permisos de este usuario.
