Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database
(Oracle Database)
Описание
Атаки с использованием переполнения буфера встречаются часто и нередко приводят к серьезной компрометации систем и баз данных. В ходе проведения такой атаки эксплуатируется уязвимость в одном из компонентов программного обеспечения. Подобные уязвимости связаны с ошибками разработки и программирования, особенно в механизмах проверки и ограничения входных данных. При проведении атаки, направленной на переполнение буфера, входные данные, поступившие от злоумышленника, сохраняются в памяти без проверки их размера. С помощью специально сформированных входных данных злоумышленник может управлять поведением программы, например, выполнять вредоносные действия от имени и с привилегиями этой программы.
Атаки, использующие переполнение буфера, часто приводят к полной компрометации системы и позволяют злоумышленникам выполнить следующие действия:
- нарушить работу системы, базы данных или приложения, тем самым сделав соответствующий ресурс недоступным для пользователей системы;
- проникнуть в систему и внедрить в нее скрытое вредоносное содержимое, например, троянскую программу или вирус;
- нарушить целостность информации, хранящейся в базе данных, добавив ложную информацию.
Во встроенной команде Oracle присутствует уязвимость, которая позволяет злоумышленникам вызвать переполнение буфера. Если данной команде в качестве параметра будет передана слишком длинная строка, то это вызовет переполнение буфера и приведет либо к аварийному завершению работы сервера Oracle, либо к выполнению вредоносного кода.
Атаки, использующие переполнение буфера, часто приводят к полной компрометации системы и позволяют злоумышленникам выполнить следующие действия:
- нарушить работу системы, базы данных или приложения, тем самым сделав соответствующий ресурс недоступным для пользователей системы;
- проникнуть в систему и внедрить в нее скрытое вредоносное содержимое, например, троянскую программу или вирус;
- нарушить целостность информации, хранящейся в базе данных, добавив ложную информацию.
Во встроенной команде Oracle присутствует уязвимость, которая позволяет злоумышленникам вызвать переполнение буфера. Если данной команде в качестве параметра будет передана слишком длинная строка, то это вызовет переполнение буфера и приведет либо к аварийному завершению работы сервера Oracle, либо к выполнению вредоносного кода.
Как исправить
Ссылки
Источник: CVE
Наименование: CVE-2009-0979
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0979
http://www.oracle.com/technetwork/topics/security/cpuapr2009-099563.html
Наименование: CVE-2009-0979
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0979
http://www.oracle.com/technetwork/topics/security/cpuapr2009-099563.html