Non ci sono patch, al momento, per il buffer overflow individuato nei giorni scorsi. Il big degli archivi per ora è a rischio

Santa Monica, CA (USA) - Al momento non c'è ancora soluzione, secondo alcuni esperti di sicurezza, al bug individuato nei giorni scorsi su Oracle da iDefense Labs di Verisign, che ha pubblicato un avviso online delineando il flaw in Oracle Database 10gR2. Anche le versioni più vecchie sono, al momento, a rischio.

Ieri, dalla divisione DeepSight Threat Management di Symantec vi è stato un ulteriore avviso: "La questione riguarda i parametri 'OWNER' e 'NAME' della procedura 'XDB.XDB_PITRIG_PKG.PITRIG_DROP METADATA' " ha detto Symantec. "Per l'esattezza, se la lunghezza combinata dei due parametri è troppo grande, vi sarà il buffer overflow nel costruire la query SQL".

In effetti occorre, per poter eseguire questo exploit, che si sia autenticati; ciò posto, l'errore è certo e il codice necessario per farlo è disponibile in rete.

Oracle ha fatto sapere di aver individuato il bug nella versione 10g del database, ma non rilascerà alcuna patch fino al prossimo update quadrimestrale - il Critical Patch Update (CPU) - previsto per il 15 gennaio 2008.

Non essendovi alcun rimedio temporaneo, Symantec raccomanda di impiegare software di rilevamento di intrusioni in rete e di autorizzare solo personale di fiducia all'accesso agli archivi.

KSJ

Condividere questa pagina su: