Escalada de privilegios en Oracle Database 11g

SeguridadVirus

Se ha encontrado una vulnerabilidad en Oracle Database 11g que podría ser explotada por un atacante para escalar privilegios.

Un usuario con privilegios BECOME USER y privilegios de ejecución en KUPP$PROC.CHANGE_USER y CREATE SESSION podría escalar hasta alcanzar privilegios SYS; entonces por medio de un evento de depurado inmediato, podría conseguir que el depurador le concediera permisos SYSBA (permisos totales).

Existe un exploit para la versión 11g de Oracle Database y otras versiones se podrían ver afectadas. No se ha publicado ninguna actualización, el próximo paquete de parches está programado para el 15 de enero de 2008.