S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 05 juillet 2001
N° CERTA-2001-AVI-073
Affaire suivie par: CERT-FR
le 05 juillet 2001

Avis du CERT-FR

Objet: Vulnérabilité d’Oracle

Gestion du document

Référence CERTA-2001-AVI-073
Titre Vulnérabilité d’Oracle
Date de la première version 05 juillet 2001
Date de la dernière version 05 juillet 2001
Source(s) Avis du CERT/CC CA-2001-16
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire sur le serveur avec les privilèges du compte utilisé par le processus, permettant aussi la modification de la base de données Oracle.
  • Dans le cas de Windows NT ou 2000, ces privilèges sont ceux de LOCAL_SYSTEM.

Systèmes affectés

Oracle 8i.

Résumé

Une vulnérabilité de TNS listener permet de compromettre à distance une base de données Oracle sans authentification préalable.

Description

TNS (Transparent Network Substate) Listener est un élément de l'interface réseau des base de données Oracle 8i.

Une vulnérabilité de TNS Listener permet à un utilisateur mal intentionné d'obtenir, par le biais d'un débordement de mémoire, les privilèges de l'administrateur de la base de données sans authentification préalable.

Solution

Installer la version d'Oracle 9i qui ne présente pas cette vulnérabilité.

Un numéro à été donné à cette vulnérabilité : 1489683 et Oracle met au point un correctif pour les versions 8.1.7, 8.1.6 et 8.0.6 qui sera disponible à l'adresse suivante :

http://metalink.oracle.com

Documentation

Gestion détaillée du document

    le 05 juillet 2001
    version initiale.