Buffer Overflow in Oracles Database Server [Update]

Eine Schwachstelle in Oracles Database Server ermöglicht es authentifizierten Anwendern, beliebigen Code auf dem Server mit den Rechten der Datenbank auszuführen. Unter anderem ließen sich so Inhalte manipulieren oder weitere Angriffe auf das zugrunde liegende Betriebssystem durchführen. Schuld ist nach Angaben von iDefense ein Buffer Overflow in der Prozedur XDB.XDB_PITRIG_PKG.PITRIG_DROPMETADATA, der sich durch präparierte OWNER- und NAME-Parameter provozieren lässt. Die Prozedur baut anhand der beiden Parameter eine SQL-Anfrage zusammen, prüft aber leider nicht deren Länge.

Laut Fehlerbericht benötigt ein Angreifer keine speziellen Privilegien für die Datenbank, um die Lücke ausnutzen zu können. Ein erfolgreicher Angriff über ein normales Konto dürfte allerdings nur im LAN wahrscheinlich sein. Betroffen sind die Version 10g Release 2 und vermutlich vorherige. Oracle ist über das Problem informiert und plant nach eigenen Angaben, den Fehler in einem der nächsten Critical Patch Updates (CPU) zu beheben. Einen Workaround gibt es nicht. Ob der Fehler auch in der aktuellsten Version 11g zu finden ist, schreibt iDefense nicht.

Update
Der Datenbanksicherheitsspezialist Alexander Kornbrust hat darauf hingewiesen, dass es bereits einen öffentlichen Exploit für Oracle 10.2.0.1/10.2.0.2 gibt, mit dem sich immerhin die Datenbank zum Absturz bringen lässt. Dazu seien laut seiner Beschreibung nur “Create Session”-Privilegien nötig. Die Security Patches vom April-CPU 2007 oder später sollen das Problem aber bereits lösen können. Anders als von iDefense angegeben müssen Anwender offenbar nicht bis zum nächsten CPU warten.

Siehe dazu auch:

• Oracle 10g R2 PITRIG_DROPMETADATA Buffer Overflow Vulnerability, Fehlerbericht von iDefense

(dab)