Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Desbordamiento de búfer en Oracle Application Server
 
VSantivirus No. 1027, Año 7, Miércoles 30 de abril de 2003

Desbordamiento de búfer en Oracle Application Server
http://www.vsantivirus.com/vul-oracle-bufer.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy



Oracle Corp. ha liberado parches para una vulnerabilidad extremadamente crítica que afecta sus servidores de bases de datos.

Oracle Application Server, es una aplicación que incorpora en un solo producto, una solución de servidor web y base de datos empleada ampliamente en el desarrollo e implementación de portales de comercio electrónico, etc.

La falla se trata de un clásico desbordamiento de búfer que afecta a todas las versiones de Oracle Database, y que podría ser utilizada maliciosamente por un atacante, poniendo en compromiso la seguridad de los datos almacenados, además de acceder al control total sobre la computadora en que se ejecuta el servidor.

Las versiones afectadas incluyen a Oracle7 Release 7.3.x, todas las releases de Oracle8 y 8i, además de las 1 y 2 de Oracle 9i.

El viernes, Oracle proporcionó un parche para dos releases de su Oracle Database 9i, y una para la 8i.

El parche para la versión 8.0.6.3 de Oracle, está disponible para los clientes con soporte extendido de mantenimiento, pero la compañía dijo no tener planes para proporcionar parches destinados a las versiones anteriores de su producto. Además, recalcó la importancia de que todos quienes posean alguna de las versiones afectadas y cuyos parches estén disponibles, procedan a actualizarse inmediatamente.

La vulnerabilidad existe en el código responsable de manejar los enlaces de solicitudes, al crearse las bases de datos (Create Database Link), que habilita a un servidor Oracle Database obtener la información almacenada en otro, según revelaron quienes descubrieron la falla, la empresa de seguridad Next Generation Security Software Ltd. (NGSSoftware) de Inglaterra.

Un atacante puede crear un enlace extremadamente largo, y entonces al intentar usar ese enlace se produciría un desbordamiento de búfer (los datos exceden el espacio asignado en memoria para los mismos).

Los datos excedentes, sobrescribirían el código del programa en memoria, causando una denegación de servicio (imposibilidad de responder) al servidor Oracle Database, o hasta la ejecución de un código que tome el control de la máquina atacada.

El privilegio para crear enlaces a la base de datos está habilitado por defecto para casi toda cuenta activa de Oracle, lo que habilita a cualquier usuario a conectarse al servidor.

Este privilegio está habilitado existan o no más servidores Oracle adicionales en una red.

Se puede crear un enlace con estas instrucciones:

CREATE DATABASE LINK ngss
CONNECT TO hr
IDENTIFIED BY hr
USING 'longstring'

Y luego, usar el mismo con la siguiente instrucción:

select * from table@ngss

Si se produce el desbordamiento (con un enlace extremadamente largo), entonces se podría sobrescribir la dirección de retorno en el stack y permitir la ejecución de código con los privilegios de la cuenta en que se ejecuta el servidor.

Más información sobre el parche, en el siguiente documento en formato PDF de Oracle: http://otn.oracle.com/deploy/security/pdf/2003alert54.pdf

Una de las recomendaciones para minimizar el problema hasta instalar el parche correspondiente, sería proteger a los servidores Oracle del acceso a Internet, si corresponde, mediante el uso de un cortafuegos, etc.

Más información sobre el alcance de esta falla y sus efectos:

http://www.ngssoftware.com/papers/non-stack-bo-windows.pdf
http://www.ngssoftware.com/papers/ntbufferoverflow.html
http://www.ngssoftware.com/papers/bufferoverflowpaper.rtf
http://www.ngssoftware.com/papers/unicodebo.pdf




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS