Vous êtes sur le site public du Cert-IST
Les configurations non sures - Oracle listener

Date :26 Juillet 2005

Publication: Article

Les configurations non sures – Oracle listener

Le " listener " d’Oracle, utilisé pour les connexions à distance sur la base Oracle, peut être également administré à distance par des contrôleurs (remote listener controllers).

Dans une configuration sécurisée, les connexions sur le listener requièrent un mot de passe (non configuré par défaut).

Ainsi sur une installation par défaut le listener peut être configuré à distance pour journaliser les évènements dans un fichier.

Suite à une vulnérabilité dans des commandes relatives à cette journalisation (SET TRC_FILE et SET LOG_FILE), un utilisateur distant peut créer ou écraser des fichier du système avec les privilèges Oracle.

De plus les informations enregistrées dans les journaux peuvent être forgées de telles manière (caractères d’échappement, ..) qu’un code arbitraire peut être exécuté avec les privilèges Oracle.

Avis de sécurité d’Oracle : http://otn.oracle.com/deploy/security/pdf/listener_alert.pdf

Avis de sécurité d’ISS : http://xforce.iss.net/alerts/advise66.php