Bulletin d’alerte du CERTA : Vulnérabilité d’Oracle 10g
novembre 2007 par CERT-FR
1 Risque
Exécution de code arbitraire à distance.
2 Systèmes affectés
Oracle version 10g R2.
3 Description
Une vulnérabilité a été découverte dans la version 10g R2 de la base de données
Oracle. Cette vulnérabilité est due à un débordement de mémoire au niveau de la
procédure XDB_PITRIG_PKG.PITRIG_DROPMETADATA, via une très grande taille des
arguments OWNER et NAME.
L’exploitation de cette vulnérabilité conduit à l’exécution de code arbitraire
à distance.
4 Contournement provisoire
L’éditeur reconnait la faille et un correctif est déjà construit. Ce correctif
sera disponible dans les prochaines mises à jour (Critical Patch Update, ou
CPU), qui devrait avoir lieu en Janvier 2008.
En attendant, le CERTA recommande de :
* n’autoriser l’accès à la base Oracle qu’à partir d’adresse IP de confiance ;
* filtrer en amont la taille des arguments passés à la base de données.
5 Documentation
* Référence CVE CVE-2007-4517 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4517
* Bulletin de sécurité iDefense du 07 novembre 2007 :
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=622