Risque

Exécution de code arbitraire sur le système local.

Systèmes affectés

  • Oracle 9i Database Release 2, Versions 9.2.x ;
  • Oracle 9i Database Release 2, Versions 9.0.x ;

Résumé

Une vulnérabilité sur Oracle 9i Database permet à un utilisateur local mal intentionné d'exécuter du code arbitraire avec les privilèges de l'utilisateur oracle.

Description

Oracle 9i Database est le gestionnaire de base de données d'Oracle.

Un débordement de mémoire présent dans les binaires oracle et oracleO permet à un utilisateur du système d'exécuter du code arbitraire avec les privilèges de l'utilisateur oracle.

Contournement provisoire

Supprimer les droits d'exécution des deux binaires pour les utilisateurs n'appartenant pas au même groupe à l'aide des commandes suivantes :

  • cd $ORACLE_HOME/bin
  • chmod o-x oracle oracleO

Solution

Appliquer le correctif disponible (cf section documentation).

Documentation