Risques

  • Déni de service
  • Exécution de code arbitraire

Systèmes affectés

  • Oracle 9i release 1, release 9.0.x ;
  • Oracle 9i release 2, release 9.2.0.1 et 9.2.0.2.

Résumé

Une vulnérabilité présente dans l'interface Oracle iSQL*Plus du gestionnaire de base de données Oracle permet à un utilisateur mal intentionné d'exécuter du code arbitraire ou de réaliser un déni de service.

Description

Oracle iSQL*Plus est une application qui permet l'interrogation d'une base de données via une interface Web.

Un débordement de mémoire présent sur Oracle iSQL*Plus permet à un utilisateur mal intentionné (non authentifié) de réaliser un déni de service ou d'exécuter du code arbitraire avec les privilèges de l'administrateur du gestionnaire de base de données Oracle (utilisateur Oracle pour la plupart des systèmes et SYSTEM sur windows).

Solution

Appliquer le correctif disponible sur le site d'Oracle (cf section documentation).

Documentation