Oracle vulnerable a ataques de inyección SQL en cursores

El especialista David Litchfield ha elaborado un informe, que expondrá en la conferencia Black Hat DC 2007, donde asegura que cualquier sistema de base de datos Oracle no parcheado está expuesto a ataques por inyección SQL en cursores, táctica descrita en el documento http://www.databasesecurity.com/dbsec/cursor-injection.pdf , y que no requiere tener privilegios de sistema.

Esta forma de ataque tira por tierra la versión de Oracle, que etiqueta el agujero como de bajo riesgo asegurando que para explotar la vulnerabilidad son necesarios privilegios que permitan crear funciones y procedimientos. Al contrario, Litchfield explica en el documento cómo el ataque puede realizarse sin ningún tipo de privilegio extra.

El ataque por inyección en cursores afecta a todas las versiones de Oracle no parcheadas con el Critical Patch Update (Octubre 2006).


Enlaces:

- Página de David Litchfield: http://www.databasesecurity.com/
- Documento inyección SQL en cursores (en inglés): http://www.databasesecurity.com/dbsec/cursor-injection.pdf




Añadir respuesta:

Autor:

Comentarios sobre Oracle vulnerable a ataques de inyección SQL en cursores:

por Jeannine21Fuller | 7/23/2010 4:13:08 AM

RE: Oracle vulnerable a ataques de inyección SQL en cursores

The <a href="http://bestfinance-blog.com">loans</a> seem to be important for people, which would like to ground their own organization. In fact, that is easy to get a small business loan.



Buscar errores de Oracle


Buscar en la web

 
Web orasite.com
· Tutoriales
- Export / Import Oracle 9i
- Instalación Oracle 10g
- Archivos de configuración de red para Oracle
- Administración de usuarios
- Export Oracle 10g
- init.ora spfile.ora fichero de parámetros oracle
- Configurar modo archivelog
- Introducción Oracle 10g
- Arrancar o parar base de datos Oracle
- Tunning Oracle
- Seguridad listener Oracle 10g
- Instalación statspack
- Parámetros memoria SGA
- Activar auditoria de la base de datos
- Oracle Jobs (9i)
- Controlar espacio tablespaces
- Hotbackup de una base de datos Oracle
- Búsquedas en Oracle 10g case-insensitive
- Recover database until time
- Privilegios sysoper y sysdba
- Consultas sobre V$
- Bloquear acceso a base de datos por IP
- Problemas Oracle Jobs
- Cambiar ubicación base de datos
- Reconstrucción de índices
- Encriptación e integridad de datos en Oracle
- Configuración de memoria
- Instalación de la máquina virtual Java
- Loadjava y Dropjava en Oracle
- Cambiar a modo restricted session
- Recuperación modo noarchivelog
 
· Oracle FAQ
- Oracle database
 
· Noticias
- Oracle OpenWorld 2009
- Oracle compra Sun
- Oracle 11g presentada
- Oracle vulnerable a inyección SQL en cursores
- Procesos de negocio con Oracle
- OracleXE para Debian
 
· Descargas
- Free Toad
 
· Errores Oracle
· Libros sobre Oracle
· Sitios relacionados
- Trabajos de Oracle
- ZonaOracle.com
- AjpdSoft
- La Web del Programador
· Sitios recomendados
- Cronica24.com
- TPV
- Buscar trabajo
Los contenidos de esta web son producto de la colaboración de sus usuarios, por lo que puede haber erratas. Si encuentras una información incorrecta agradeceremos que nos lo comuniques en nuestra dirección:
Cualquier información aquí publicada es de libre distribución, siempre y cuando se haga referencia mediante un link al documento original.
Orasite.com