-en
http://www.nextgenss.com/advisories/oraplsextproc.txt- de que, debido a
una vulnerabilidad en la base de datos Oracle, es posible ejecutar las
funciones de cualquier librería. El problema ha sido confirmado por Oracle
-en
http://otn.oracle.com/deploy/security/p ... alert.pdf-.
En las bases de datos Oracle es posible crear una librería y paquetes
Procedural Language/Structured Query Language (PL/SQL) que efectúen llamadas
a las funciones de cualquier librería del sistema de archivos. De forma
remota, un atacante podría efectuar una llamada a system() y pasar el nombre
de un programa a ejecutar. Para conseguir sus fines, el usuario malicioso
debería ser capaz de conectar con el servidor de bases de datos Oracle y
acceder con una cuenta que tenga permisos de CREATE LIBRARY. Sin embargo, es
posible engañar al servidor Oracle para que se produzca la carga de
librerías arbitrarias y se ejecuten funciones sin necesidad de autenticarse.
Para evitar el mencionado problema se recomienda el uso de firewalls,
bloqueando el puerto 1521 desde Internet. En el caso de que no sea necesaria
la funcionalidad PL/SQL EXTPROC, se aconseja eliminarla del servidor de base
de datos. Para ello deben editarse los archivos
$ORACLE_HOME/NETWORK/ADMIN/TNSNAMES.ORA y
$ORACLE_HOME/NETWORK/ADMIN/LISTENER.ORA, y borrar una de las siguientes
entradas "icache_extproc", "PLSExtproc" o "extproc".