[news] Oracle iSQL*Plus bug e patch

**Al è qui** · 06-11-2002, 15:31

Oracle iSQL*Plus è un'applicazione web che aiuta su server Apache l'interrogazione dei database.

La versione Oracle Database 9i R1,2 contiene un bug di buffer overflow classico. L'applicazione richiede un login per accedere alle sue pagine itnerne ed effettuare le query, se all'atto del login gli si invia un username troppo lungo lo stack va in overflow dando così modo all'attacker di lanciare codice personale senza alcun controllo.

In questo modo l'intruso può portare attacchi al db stesso ed utilizzare la macchina come jump.

La patch si può scaricare da qui: http://metalink.oracle.com/.

Fonte: SecurityFocus

**barney09** · 06-11-2002, 18:41

Merita un UP

**Al è qui** · 06-11-2002, 19:32

[supersaibal]Originariamente inviato da barney09
Merita un UP [/supersaibal]

Concordo... :gren:

**WeirdOmen** · 06-11-2002, 23:16

Ma mi chiedo, è difficile verificare, prima di pubblicare un programma, se è soggetto ad overflows pericolosi con metodi "scemi" tipo inviare un username troppo lungo?

Cioè... al primo che ha provato questo trucco sul programma, quanto tempo ci sarà voluto prima che gli venisse in mente... 10 secondi?

Discussione: [news] Oracle iSQL*Plus bug e patch

Strumenti discussione

Ricerca discussione

Visualizza

[news] Oracle iSQL*Plus bug e patch

Permessi di invio