S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 12 novembre 2002
N° CERTA-2002-AVI-245
Affaire suivie par: CERT-FR
le 12 novembre 2002

Avis du CERT-FR

Objet: Vulnérabilité sur iSQL*Plus dans Oracle 9i

Gestion du document

Référence CERTA-2002-AVI-245
Titre Vulnérabilité sur iSQL*Plus dans Oracle 9i
Date de la première version 12 novembre 2002
Date de la dernière version 12 novembre 2002
Source(s) Avis de sécurité #46 d'Oracle
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire ;
  • Déni de service.

Systèmes affectés

  • Oracle 9i release 1, release 9.0.x ;
  • Oracle 9i release 2, release 9.2.0.1 et 9.2.0.2.

Résumé

Une vulnérabilité présente dans l'interface Oracle iSQL*Plus du gestionnaire de base de données Oracle permet à un utilisateur mal intentionné d'exécuter du code arbitraire ou de réaliser un déni de service.

Description

Oracle iSQL*Plus est une application qui permet l'interrogation d'une base de données via une interface Web.

Un débordement de mémoire présent sur Oracle iSQL*Plus permet à un utilisateur mal intentionné (non authentifié) de réaliser un déni de service ou d'exécuter du code arbitraire avec les privilèges de l'administrateur du gestionnaire de base de données Oracle (utilisateur Oracle pour la plupart des systèmes et SYSTEM sur windows).

Solution

Appliquer le correctif disponible sur le site d'Oracle (cf section documentation).

Documentation

Gestion détaillée du document

    le 12 novembre 2002
    version initiale.