Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Oracle9i Database Release 9.0.x sur VM.
- Oracle9i Database Release 9.0.x sur Windows ;
Résumé
Une vulnérabilité présente sur le composant principal d'Oracle Net (Oracle Net Listener) permet à un utilisateur mal intentionné d'effectuer un déni de service sur la machine où est installé ce service.
Description
Le démon réseau Oracle Net Listener (port 1521 par défaut) est le composant principal d' Oracle Net, l'application qui permet d'accèder à distance à une base de donnée Oracle.
Un utilisateur mal intentionné peut, par le biais de requêtes malicieusement construites, effectuer un débordement de mémoire sur le démon et récupérer les privilèges du super utilisateur du système.
Solution
Appliquer le correctif 2367681 disponible sur le site d'oracle (se référer à la section documentation).
Documentation
- Avis de sécurité Oracle #34 http://technet.oracle.com/deploy/security/pdf/net9_dos_alert.pdf