Exploit voor lek in Oracle Database 10g
Gepubliceerd: Vrijdag 9 november 2007
Auteur: Wilbert de Vries en Maarten Reijnders
Security-onderzoekers waarschuwen dat er exploit-code circuleert voor een buffer overflow lek in Oracle Database 10gR2. Oracle heeft nog geen patch uitgebracht voor de kwetsbaarheid.
De buffer overflow kan zich voordoen bij de zogeheten XDB.XDB_PITRIG_PKG.PITRIG_DROPMETADATA-procedure. Een aanvaller kan de buffer overflow uitlokken met behulp van speciaal geprepareerde OWNER- en NAME-parameters. Het lek stelt geautoriseerde gebruikers in staat om willekeurige code te voeren.
IDefense Labs bracht woensdag een waarschuwing uit voor het lek. De kwetsbaarheid doet zich in ieder geval voor in versie 10g release 2 van de Oracle Database-software, maar het is mogelijk dat ook oudere versies zijn getroffen, aldus iDefense Labs. Ook Symantec en Secunia waarschuwen voor de kwetsbaarheid.
Vorige week vrijdag dook er een proof of concept (poc) op voor het lek, zo meldt Computerworld. De patch van Oracle verschijnt bij de volgende driemaandelijkse Critical Patch Update. Die staat gepland voor 15 januari.
Symantec adviseert gebruikers om in de tussentijd scherp te letten op dubieus netwerkverkeer. Ook zouden alleen betrouwbare werknemers toegang moeten krijgen tot de database, vindt het beveiligingsbedrijf.
Bron: Techworld
