| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.8 | $0-$5k | 0.00 |
Oracle ist eine in professionellen Kreisen weit verbreiteter Datenbank-Lösung. Die XML Datenbank (XDB) von Orcale9i Database Release 2 eweist mehrere Pufferüberlauf-Schwachstellen auf. Release 1 und vorangehende Versionen sind davon nicht betroffen. Über die Sicherheitslücke kann ein Angreifer eine Denial of Service-Attacke umsetzen oder Datenbank-Sitzungen anderer Benutzer übernehmen. Voraussetzung hierfür ist jedoch, dass auf dem Datenbank-Server FTP oder HTTP aktiviert sind. Als Workaround wird das Deaktivieren unnötiger Dienste empfohlen. Zudem wurde ein Patch für die jeweiligen Oracle-Versionen herausgegeben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (12949) und Exploit-DB (1365) dokumentiert. Unter heise.de werden zusätzliche Informationen bereitgestellt. Schwachstellen ähnlicher Art sind dokumentiert unter 83453.
Da für das erfolgreiche Umsetzen dieses Angriffs der aktivierte FTP- oder HTTP-Daemon erforderlich ist, sowie keine weiteren Details zur Schwachstelle bekannt sind, kann die Sicherheitslücke lediglich als kritisch eingestuft werden. Es bleibt jedoch zu erwarten, dass in absehbarer Zukunft Exploits erscheinen werden, die eine automatsierte Ausnutzung dieser Schwachstelle erlaubt. Dies hängt jedoch davon ab, wieviel Interesse die Blackhats dieser Sicherheitslücke beimessen.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 6.8
VulDB Base Score: 7.3
VulDB Temp Score: 6.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Autor: y0
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Saint ID: exploit_info/oracle_xdb_http_pass_overflow
Saint Name: Oracle 9i Release 2 XDB HTTP Pass Overflow
MetaSploit ID: oracle9i_xdb_ftp_pass.rb
MetaSploit Name: Oracle 9i XDB FTP PASS Overflow (win32)
MetaSploit Datei: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: metalink.oracle.com
Snort ID: 1698
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Version: 🔍
SourceFire IPS: 🔍
ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍
Timeline
01.01.2003 🔍10.07.2003 🔍
31.07.2003 🔍
18.08.2003 🔍
20.08.2003 🔍
20.08.2003 🔍
20.08.2003 🔍
02.09.2003 🔍
20.10.2003 🔍
02.03.2004 🔍
08.12.2005 🔍
08.03.2021 🔍
Quellen
Hersteller: oracle.comAdvisory: otn.oracle.com
Person: David Litchfield
Firma: Oracle
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2003-0727 (🔍)
X-Force: 12949 - Oracle9i Database Server XML database (XDB) HTTP buffer overflow, High Risk
Vulnerability Center: 3902 - XDB in Oracle 9i Release 2 Allows Buffer Overflow, High
SecurityFocus: 8375
Secunia: 9569 - Oracle 9i XML Database Buffer Overflow, Moderately Critical
OSVDB: 2449 - Oracle9i XDB HTTP Long Username/Password Overflow
TecChannel: 831 [404 Not Found]
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 20.08.2003 10:05Aktualisierung: 08.03.2021 16:18
Anpassungen: 20.08.2003 10:05 (103), 17.10.2018 08:44 (1), 08.03.2021 16:18 (3)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.