• Falha 0-Day no Oracle Database Server V10 e V11

    Durante essa semana, a Oracle Corporation lançou um patch out-of-band para a vulnerabilidade CVE-2012-1675 encontrada no banco de dados Oracle Server V10 e V11, abordando uma vulnerabilidade 0-day. Essa falha foi publicada recentemente por Joxean Koret, na lista de discussão de divulgação integral sob o nome "TNS Poison". Aparentemente, Joxean descobriu a existência da vulnerabilidade em 2008; em seguida, repassou-a para iSightPartners e estava sob a impressão equivocada de que a vulnerabilidade havia sido corrigida no mês passado, quando ele lançou sua assessoria.



    Falha em Bancos de Dados da Oracle Permitiam Ataques Man-in-the-Middle


    Mais detalhes sobre essa ocorrência, podem ser encontrados em um post de follow-up na lista de discussão, e um vídeo da vulnerabilidade sendo explorada pode ser visto aqui. A vulnerabilidade está contida na TNS listner do servidor de banco de dados Oracle, e permite que um invasor execute um ataque man-in-the-middle, registrando uma instância de banco de dados adicional no TNS listner.

    O listner irá então, iniciar o balanceamento de carga de tráfego para essa nova instância. Isso permite que o atacante possa receber as operações de banco de dados, gravá-las e encaminhá-las ao banco de dados original. Além disso, o atacante pode, potencialmente, modificar as transações e executar comandos no servidor de banco de dados original.


    Saiba Mais:

    [1] Oracle Security Alert CVE 2012 - 1675 http://www.oracle.com/technetwork/to...5-1608180.html
    [2] Vulnerability Exploitation http://eromang.zataz.com/2012/04/30/...demonstration/
    [3] Help Net Security - Secworld http://www.net-security.org/secworld.php?id=12850

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L