Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2003 > CERT-FI haavoittuvuustiedote 050/2003

CERT-FI haavoittuvuustiedote 050/2003

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

30.7.2003

Haavoittuvuus Oracle-tietokantapalvelinohjelmistossa

     
Kohde: - palvelimet ja palvelinsovellukset
 Lisätietoja
Hyökkäystapa: - etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- luottamuksellisen tiedon hankkiminen
- palvelunestohyökkäys
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Oracle on yleisesti käytetty tietokantapalvelinohjelmisto. Tietokantasovellus sisältää EXTPROC-toiminnallisuuden käyttöjärjestelmäkutsujen suorittamista varten. EXTPROC-toiminallisuudesta on löydetty puskuriylivuotohaavoittuvuus, mikä liittyy käyttöjärjestelmän kirjastokutsun suorittamiseen ylipitkällä kirjaston nimellä. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista päästä käsiksi tietokannan tietoihin, suorittaa kohdejärjestelmässä omia komentojaan tai kohdistaa siihen palvelunestohyökkäys.

HAAVOITTUVAT OHJELMISTOT:

Oracle9i (release 1 ja release 2)
Oracle8i (8.1.x -versiot)

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto valmistajan ohjeiden mukaisesti:

http://otn.oracle.com/deploy/security/pdf/2003alert57.pdf

LISÄTIETOA:

http://www.nextgenss.com/advisories/ora-extproc.txt

http://otn.oracle.com/deploy/security/pdf/2003alert57.pdf

http://www.kb.cert.org/vuls/id/936868

PÄIVITYSHISTORIA:

30.07.2003: Julkaistu
Sivua päivitetty 31.07.2007   Tulostusversio Tulostusversio