Oracle cmctl 存在缓冲溢出发布时间:2000-11-23 更新时间:2000-11-23 严重程度:高 威胁程度:普通用户访问权限 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Oracle Oracle8i 8.1.5详细描述 cmctl是一个连接控制管理工具,是Oracle 8i的默认安装配件,其中存在漏洞可以 提升权限。问题出现在cmctl处理用户提供的命令行参数中,其中argv[1]的字符串 会被拷贝到预定义的缓冲区中,并没有进行正确的检查,而导致边界溢出,破坏堆栈。 测试代码 下载如下测试程序: http://www.securityfocus.com/data/vulnerabilities/exploits/cmctl_start.c 解决方案 去掉cmctl的一些属性,这样将导致失去一些功能。 相关信息 |
