• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Переполнение буфера во встроенной команде

Главная Специалистам База уязвимостей Переполнение буфера во встроенной команде

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database (Oracle Database)
Описание
Атаки с использованием переполнения буфера встречаются часто и нередко приводят к серьезной компрометации систем и баз данных. В ходе проведения такой атаки эксплуатируется уязвимость в одном из компонентов программного обеспечения. Подобные уязвимости связаны с ошибками разработки и программирования, особенно в механизмах проверки и ограничения входных данных. При проведении атаки, направленной на переполнение буфера, входные данные, поступившие от злоумышленника, сохраняются в памяти без проверки их размера.  С помощью специально сформированных входных данных злоумышленник может управлять поведением программы, например, выполнять вредоносные действия от имени и с привилегиями этой программы.
Атаки, использующие переполнение буфера, часто приводят к полной компрометации системы и позволяют злоумышленникам выполнить следующие действия:
- нарушить работу системы, базы данных или приложения, тем самым сделав соответствующий ресурс недоступным для пользователей системы;
- проникнуть в систему и внедрить в нее скрытое вредоносное содержимое, например, троянскую программу или вирус;
- нарушить целостность информации, хранящейся в базе данных, добавив ложную информацию.
Во встроенной команде Oracle присутствует уязвимость, которая позволяет злоумышленникам вызвать переполнение буфера. Если данной команде в качестве параметра будет передана слишком длинная строка, то это вызовет переполнение буфера и приведет либо к аварийному завершению работы сервера Oracle, либо к выполнению вредоносного кода.
Как исправить