Vulnérabilités sur Oracle9i Database

Gestion du document

Référence	CERTA-2004-AVI-030
Titre	Vulnérabilités sur Oracle9i Database
Date de la première version	10 février 2004
Date de la dernière version	10 février 2004
Source(s)	Avis de sécurité NGSSoftware
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Elévation de privilèges.

Systèmes affectés

Oracle9i Database Enterprise Edition v9.2.0.3 ;
Oracle9i Database Standard Edition v9.2.0.3.

Résumé

Plusieurs vulnérabilités découvertes dans Oracle9i Database permettent à un utilisateur local de réaliser une élévation de privilèges (les privilèges System pour Windows ou Oracle pour Unix).

Description

Une faille de type débordement de mémoire présente sur la variable char_expr dans les deux fonctions de conversion NUMTOYMINTERVAL et NUMTODSINTERVAL permet à un utilisateur mal intentionné d'exécuter du code arbitraire sur système.

Deux autres débordements de mémoire sont présents sur les paramètres TZD (Time Zone Difference) de la fonction FROM_TZ et TIME_ZONE.

Solution

Mettre à jour Oracle9i Database avec la version Oracle9i Database Release 2, version 9.2.0.3 ou la version 9.2.0.4 en appliquant le patch 3 (cf site Metlalink Oracle, section documentation).

Documentation

Site Metalink d'Oracle :
```
http://metalink.oracle.com
```
NGSSoftware : Oracle NUMTOYMINTERVAL Remote System Overflow :
```
http://www.nextgenss.com/advisories/ora_numtoyminterval.txt
```
NGSSoftware : Oracle NUMTODSINTERVAL Remote System Overflow :
```
http://www.nextgenss.com/advisories/ora_numtodsinterval.txt
```

NGSSoftware : Oracle TIME_ZONE Remote System Overrun :

http://www.nextgenss.com/advisories/ora_time_zone.txt

NGSSoftware : Oracle FROM_TZ Remote System Overrun :

http://www.nextgenss.com/advisories/ora_from_tz.txt

Avis du CERT-FR

Objet: Vulnérabilités sur Oracle9i Database