Risque
- Exécution de code arbitraire sur le système local
Systèmes affectés
- Oracle 9i Database Release 2, Versions 9.0.x ;
- Oracle 9i Database Release 2, Versions 9.2.x ;
Résumé
Une vulnérabilité sur Oracle 9i Database permet à un utilisateur local mal intentionné d'exécuter du code arbitraire avec les privilèges de l'utilisateur oracle.
Description
Oracle 9i Database est le gestionnaire de base de données d'Oracle.
Un débordement de mémoire présent dans les binaires oracle et oracleO permet à un utilisateur du système d'exécuter du code arbitraire avec les privilèges de l'utilisateur oracle.
Contournement provisoire
Supprimer les droits d'exécution des deux binaires pour les utilisateurs n'appartenant pas au même groupe à l'aide des commandes suivantes :
- cd $ORACLE_HOME/bin
- chmod o-x oracle oracleO
Solution
Appliquer le correctif disponible (cf section documentation).
Documentation
- Avis de sécurité 59 d'Oracle http://otn.oracle.com/deploy/security/pdf/2003alert59.pdf
- Correctif disponible à l'adresse suivante avec le numéro de correctif 3157063 : http://metalink.oracle.com
