CERT-FI haavoittuvuustiedote 155/2007

Haavoittuvuus Oracle-tietokantaohjelmistoissa

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Oracle Database -tietokantapalvelimesta on löytynyt haavoittuvuus, joka voi mahdollistaa palvelimelle kirjautuneen käyttäjän suorittaa kohdejärjestelmässä omaa ohjelmakoodiaan. Haavoittuvuus liittyy puutteelliseen XDB.XDB_PITRIG_PKG.PITRIG_DROPMETADATA -SQL-komennon parametrien tarkastukseen.

Haavoittuvuuteen on olemassa julkinen hyväksikäyttömenetelmä.

HAAVOITTUVAT OHJELMISTOT:

• Oracle Database 10gR2 ja tätä aiemmat versiot
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä ohjelmisto uusimpaan versioon.

LISÄTIETOA:

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4517
• http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=622
• http://www.us-cert.gov/current/index.html#public_exploit_for_oracle_database
• http://www.securityfocus.com/bid/26374
  

PÄIVITYSHISTORIA:

8.11.2007, kello 8.30: Julkaistu

12.11.2007, kello 14.45: Lisätty tieto hyväksikäyttömeneltemän olemassaolosta

23.12.2009, kello 17:10: Lisätty tieto korjauksesta

Sivua päivitetty 23.12.2009

Tulostusversio