• Oracle Alerta Usuários Sobre Vulnerabilidades Críticas de Segurança

    Publicado em 15-08-2012 21:34
    0 Comentários Comentários
    Na recente conferência Black Hat 2012, que foi realizada em Las Vegas, o especialista em segurança David Litchfield revelou a existência de um exploit Zero Day, no servidor de banco de dados Oracle. A empresa já havia abordado esta vulnerabilidade antes, divulgando um patch de correção. As versões 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.2 e 11.2.0.3 são afetadas pela falha, embora em julho passado um patch de atualização contivesse uma correção para as duas últimas versões mencionadas (11.2.0.2 e 11.2.0.3).



    Oracle divulgou um boletim, onde faz um alerta aos usuários sobre falhas de segurança em seu servidor de banco de dados

    Essa vulnerabilidade permite que crackers possam obter privilégios de usuário como SYSDBA. Para isso, eles exigem um nome de usuário, senha, privilégios CREATE TABLE e CREATE PROCEDURE, e privilégios EXECUTE para o pacote DBMS_STATS. O pacote Oracle Text também precisa ser instalado, como tipicamente exige tal situação. Portanto, a Oracle está aconselhando os usuários a instalar o patch o mais rápido possível, com exploits para a vulnerabilidade já disponíveis ao público.

    Segundo a própria Oracle, a falha de segurança também pode estar presente em versões mais antigas que não são mais suportados. Portanto, a empresa não irá lançar uma correção para estas versões. Além disso, a Oracle descreve o bug, que foi catalogado como CVE-2012-3132, apenas em termos gerais, ou seja, não houve detalhamento de tal ocorrência. Para quem quiser mais informações sobre o sinistro, essas podem ser encontradas em uma postagem de blog publicada por Alex Rothacker, do Team Shatter.


    Saiba Mais:

    [1] Team Shatter http://www.teamshatter.com/topics/ge...ge-escalation/
    + Enviar Comentário