HOME > 게시판 > 자유게시판
게시판| 자유게시판
※ 게시판 용도에 맞지 않는 글(광고및 홍보 글 등)은 임의삭제될 수 있습니다.

 
작성일 : 02-03-16 09:52
오라클 PL/SQL 모듈의 다중 버퍼오버플로 취약점
 글쓴이 : 관리자
조회 : 1,421  
-- 제목 --------------
Oracle PL/SQL Apache 모듈의 다중 버퍼오버플로

-- 해당 시스템 --------
Oracle 9iAS
  
-- 설명---------------
Oracle Application Server의 PL/SQL모듈에 다중 버퍼오버플로가 있다. 이는 아파치 웹 서버를 작동시키며 임의의 명령어를
실행시킬 수 있으며 DoS에 대한 위험도 존재한다.
PL/SQL 모듈은 원격 사용자가 데이터베이스 서버에 저장되어 있는 PL/SQL 패키지에서 생성되는 프로시저를 호출하도록 한다.
그런데, 이 모듈에 비정상적으로 인증 HTTP 클라이언트 헤더에 상대적으로 긴 패스워드를 세팅되어질 수 있으며, 상대적으로
긴 Request 보낼 수 있어서 모듈은 오버플로 현상이 나타날 수 있다.
 
--영향-----------------
PL/SQL모듈의 버퍼오버플로로 인하여 임의의 명령어 실행, DoS 위험이 있다.

-- 해결책---------------
패치적용
http://metalink.oracle.com

------- 참조 사이트 --------------------------
Hackproofing Oracle Application Server
http://www.nextgenss.com/papers/hpoas.pdf
NGSSoftware Insight Security Research Advisory #NISR20122001
http://www.nextgenss.com/advisories/plsql.txt
NGSSoftware Insight Security Research Advisory #NISR06022002A
http://www.nextgenss.com/advisories/oraplsextproc.txt
NGSSOftware Insight Security Research Advisory #NISR06022002B
http://www.nextgenss.com/advisories/oraplsbos.txt
NGSSoftware Insight Security Research Advisory #NISR06022002C
http://www.nextgenss.com/advisories/orajsa.txt

http://www.nextgenss.com/advisories/orajsp.txt
-------------------------------------------------------------------------------

--------------------------------------------------------------
한국정보보호진흥원(Korea Information Security Agency),
Computer Emergency Response Team Coordination Center , CERTCC-KR
전화: 118 (지방 02-118)  Email: cert@certcc.or.kr
==============================================================

이 글을 트위터로 보내기 이 글을 페이스북으로 보내기