1 Risque

Exécution de code arbitraire à distance.

2 Systèmes affectés

Oracle version 10g R2.

3 Description

Une vulnérabilité a été découverte dans la version 10g R2 de la base de données
Oracle. Cette vulnérabilité est due à un débordement de mémoire au niveau de la
procédure XDB_PITRIG_PKG.PITRIG_DROPMETADATA, via une très grande taille des
arguments OWNER et NAME.

L’exploitation de cette vulnérabilité conduit à l’exécution de code arbitraire
à distance.

4 Contournement provisoire

L’éditeur reconnait la faille et un correctif est déjà construit. Ce correctif
sera disponible dans les prochaines mises à jour (Critical Patch Update, ou
CPU), qui devrait avoir lieu en Janvier 2008.

En attendant, le CERTA recommande de :

* n’autoriser l’accès à la base Oracle qu’à partir d’adresse IP de confiance ;
* filtrer en amont la taille des arguments passés à la base de données.

5 Documentation

* Référence CVE CVE-2007-4517 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4517

* Bulletin de sécurité iDefense du 07 novembre 2007 :

http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=622