Összefoglaló
Az Oracle Database olyan sérülékenységét fedezték fel, amelyet a támadók kihasználhatnak a felhasználói rendszerek feltörésére.
Leírás
A sérülékenységet a parancs sor alapú export segédprogram (exp.exe) hibája okozza, ami a paraméter fájl (PARFILE) feldolgozásakor lép fel. Ez kihasználható egy verem alapú puffer túlcsordulásának előidézésére egy speciálisan erre a célra elkészített fájlban a “file” paraméterhez hozzárendelt, szokásosnál hosszabb, karaktersorozattal.
A sikeres kihasználás tetszőleges kód futtatását teszi lehetővé, ha a megtévesztett felhasználó az adatbázishoz való hozzáféréskor futtatja a rosszindulatú paramétert használó segédprogramot.
A sérülékenységet a 11.2.0.1.0 verzióban igazolták, valamint a 10.x verziókban is jelentették. Más verziók is érintettek lehetnek.
Megoldás
Megbízhatatlan fájlok használatakor ne futtassa az export segédprogramot.