Oracle 9.2.0.8 : la faille critique déjà corrigée

Avec près d'une semaine d'avance, Oracle annonce la disponibilité du correctif de la faille référencée DB01.

Cette faille, spécifique à Windows XP, et relevée dès 2005 par David Litchfield de Next Generation Security Software, n'avait en effet pas été colmatée par le Critical Patch Update (CPU) du mois d'Avril 2007.

La vulnérabilité concerne les serveurs Windows XP abritant une base Oracle et dont la fonctionnalité de partage de fichiers ainsi que le compte Invité sont activés. L'exploit permet à l'attaquant de gagner les droits d'administrateur de base de données.

En effet, il suffit à l'attaquant de trouver le nom d'un membre du groupe ORA_DB et de créer un tel utilisateur sur son propre système. Le compte Invité étant actif sur la machine serveur, et Oracle utilisant les méchanismes de sécurité de Windows XP, le mot de passe n'est pas vérifié, et l'attaquant est de fait accrédité comme DBA.

On rappelle que lorsque le compte Invité est activé sur un système XP, il est possible de s'authentifier sans login ou mot de passe valide. Pour savoir si un tel compte est actif, la commande "net user Invité" peut être d'une aide précieuse.

Si vous utilisez Oracle Database Server 9.2.0.8 sous Windows, voilà qui devrait, au moins partiellement, mettre fin à vos insomnies.

Posté le 27 avril 2007 par Jeremy Amiot - source vulnerabilite.com

Vous pouvez commenter cette nouvelle
en posant vos avis, questions et remarques
sur le forum actualité