Bufferfeil i Oracle gir systemadgang

Det er blitt oppdaget overflytsfeil i en buffer i forbindelse med to SQL-funksjoner i databasesystemet Oracle.

Et sikkerhetshull i Oracle 8i og Oracle 9i kan gi ondsinnede, lokale brukere tilgang til å eksekvere vilkårlig kode på databaseserveren.

Problemet er ifølge Secunia en ukontrollert buffer i SQL-funksjonene "CREATE LIBRARY" og "CREATE ANY LIBRARY".

Oracle skal ha utgitt oppdateringer til alle plattformer med versjon 9.2.0.3 av Oracle, og til alle plattformer med 9.2.0.2 av Oracle, bortsett fra til Windows, som vil komme i august.

Til versjoner hvor en patch foreløpig ikke er tilgjengelig, er det ifølge Secunia nødvendig å fjerne brukernes avgang til de to aktuelle SQL-funksjonene. Oracle opplyser at det ikke foreligger planer om å tette sikkerhetshullet i eldre utgaver av Oracle, det vil si versjon 9.2.0.1 og eldre. Dette skyldes arkitekturmessige restriksjoner.

Oracle har gitt ut en egen advarsel som er tilgjengelig her.

Til toppen