ALERT: Oracle 8.0.x: script tcl SUID root [ID: A-99003C]
-----BEGIN PGP SIGNED MESSAGE-----
GARR-CERT Security Alert
- ------------------------------------------------------------------------------
Alert ID: A-99003C
Data di creazione: Wed May 5 12:48:00 1999
Titolo: Oracle 8.0.x: script tcl SUID root
Gravita': alta
- ------------------------------------------------------------------------------
1) Descrizione del problema
Le versioni 8.0.3, 8.0.4 e 8.0.5 di Oracle, con l'opzione Intelligent Agent
installata, contengono uno script tcl (bin/oratclsh) di proprieta' di root che
ha il bit SUID settato. Utilizzando questo script in maniera appropriata e'
possibile per un utente locale al sistema eseguire comandi con privilegi di
root.
2) Piattaforme interessate
Accertate:
Oracle 8.0.5 Solaris, Digital Unix, Linux
Oracle 8.0.4 Solaris
Oracle 8.0.3 Solaris
La versione 8.0.5.1 risolve il problema solo su piattaforma Linux.
3) Impatto
Utenti locali possono eseguire comandi con privilegi di root.
4) Soluzioni
Per Linux, installare la versione 8.0.5.1. Per le altre piattaforme, in attesa
del "fix" ufficiale che comparira' nella versione 8.0.6, bisogna rimuovere il
bit SUID dallo script bin/oratclsh oppure evitare di installare l'opzione
Intelligent Agent.
5) Riferimenti
Nessuno.
Appendice
GARR-CERT Home Page
http://security.fi.infn.it/GARR-CERT (temporaneamente)
- ------------------------------------------------------------------------------
- ------------------------------------------------------------------------------
Paolo Amendola Phone. +39 80 5443194
GARR-CERT / I.N.F.N. Sezione di Bari Fax. +39 80 5442470
Bari, Italy email. paolo.amendola@ba.infn.it
PGP key: http://security.fi.infn.it/cgi-bin/spgpk.pl
- ------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv
iQCVAwUBNzAjfykc7/YS2hptAQGvrgP6A1RvDl31UXKetUBjMsuNNKeFnvFCEl/1
njQ1lX3M1tRNmBJiCEukIMYCUergcjKlF4QecMqaGbm+3L6QTHC2rwQul24tk7Ew
oYFqaTDQa+eFMFgBo6fVG/JUkHcTN+vkic3FVB8M8LoUxGGU8bzBqp2ZWpxknc3T
fuxu7Tg1Cwc=
=Ak0L
-----END PGP SIGNATURE-----
GARR-CERT Security Alert
- ------------------------------------------------------------------------------
Alert ID: A-99003C
Data di creazione: Wed May 5 12:48:00 1999
Titolo: Oracle 8.0.x: script tcl SUID root
Gravita': alta
- ------------------------------------------------------------------------------
1) Descrizione del problema
Le versioni 8.0.3, 8.0.4 e 8.0.5 di Oracle, con l'opzione Intelligent Agent
installata, contengono uno script tcl (bin/oratclsh) di proprieta' di root che
ha il bit SUID settato. Utilizzando questo script in maniera appropriata e'
possibile per un utente locale al sistema eseguire comandi con privilegi di
root.
2) Piattaforme interessate
Accertate:
Oracle 8.0.5 Solaris, Digital Unix, Linux
Oracle 8.0.4 Solaris
Oracle 8.0.3 Solaris
La versione 8.0.5.1 risolve il problema solo su piattaforma Linux.
3) Impatto
Utenti locali possono eseguire comandi con privilegi di root.
4) Soluzioni
Per Linux, installare la versione 8.0.5.1. Per le altre piattaforme, in attesa
del "fix" ufficiale che comparira' nella versione 8.0.6, bisogna rimuovere il
bit SUID dallo script bin/oratclsh oppure evitare di installare l'opzione
Intelligent Agent.
5) Riferimenti
Nessuno.
Appendice
GARR-CERT Home Page
http://security.fi.infn.it/GARR-CERT (temporaneamente)
- ------------------------------------------------------------------------------
- ------------------------------------------------------------------------------
Paolo Amendola Phone. +39 80 5443194
GARR-CERT / I.N.F.N. Sezione di Bari Fax. +39 80 5442470
Bari, Italy email. paolo.amendola@ba.infn.it
PGP key: http://security.fi.infn.it/cgi-bin/spgpk.pl
- ------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv
iQCVAwUBNzAjfykc7/YS2hptAQGvrgP6A1RvDl31UXKetUBjMsuNNKeFnvFCEl/1
njQ1lX3M1tRNmBJiCEukIMYCUergcjKlF4QecMqaGbm+3L6QTHC2rwQul24tk7Ew
oYFqaTDQa+eFMFgBo6fVG/JUkHcTN+vkic3FVB8M8LoUxGGU8bzBqp2ZWpxknc3T
fuxu7Tg1Cwc=
=Ak0L
-----END PGP SIGNATURE-----