Oracle wraped过程远程缓冲区溢出漏洞

漏洞信息详情

Oracle wraped过程远程缓冲区溢出漏洞

• CNNVD编号：CNNVD-200408-003
• 危害等级： 超危
  
  
• CVE编号：
  CVE-2004-1371
  
• 漏洞类型：
  
  
  缓冲区溢出
  
• 发布时间：
  
  2004-08-04
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-08-30
  
• 厂        商：
  
  oracle
• 漏洞来源：
  David Litchfield※ …

Oracle Database是一款商业性质大型数据库系统。
Oracle 10g/9i wrapper过程存在缓冲区溢出，远程攻击者可以利用这个漏洞以进程权限执行任意指令。
PL/SQL过程可以被加密或\”wrapped\”，通过在被使用版本9Wrapped过的过程上下文替换一个超长\’\’token\’\’，当过程建立时在oracle服务器上就会发生基于栈的缓冲区溢出，精心构建提交数据可能以进程权限执行任意指令。

厂商补丁：
Oracle
——
ORACLE已经发布patch (#68)来修正此漏洞：

http://metalink.oracle.com/” target=”_blank”>
http://metalink.oracle.com/

来源:US-CERT Technical Alert: TA04-245A
名称: TA04-245A
链接:http://www.us-cert.gov/cas/techalerts/TA04-245A.html

来源:US-CERT Vulnerability Note: VU#316206
名称: VU#316206
链接:http://www.kb.cert.org/vuls/id/316206

来源: XF
名称: oracle-wrapped-procedure-bo(18666)
链接:http://xforce.iss.net/xforce/xfdb/18666

来源: BID
名称: 10871
链接:http://www.securityfocus.com/bid/10871

来源: www.oracle.com
链接:http://www.oracle.com/technology/deploy/security/pdf/2004alert68.pdf

来源: www.ngssoftware.com
链接:http://www.ngssoftware.com/advisories/oracle23122004J.txt

来源: BUGTRAQ
名称: 20041223 Oracle wrapped procedure overflow (#NISR2122004J)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110382570313035&w=2

来源: SUNALERT
名称: 101782
链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-101782-1