Modificación remota de datos en tablas de Oracle 9 y 10
Se ha encontrado una vulnerabilidad en Oracle por la que un usuario remoto autenticado podría realizar cambios no autorizados en el contenido de una base de datos.
Si un usuario remoto posee privilegios de SELECT, es posible que pueda insertar, actualizar o borrar datos de la tabla mediante la creación o uso de una vista especialmente formada. El impacto específico en la base de datos depende en gran medida del diseño de la aplicación.
Existe prueba de concepto que aprovecha la vulnerabilidad. El fallo afecta a las versiones 9.2.0.0 y 10.2.0.3 aunque otras podrían verse afectadas. Por otra parte, Oracle no ha publicado ningún parche o actualización oficial.
Se recomienda depurar el rol “connect” y quitar los privilegios de “CREATE VIEW” o “CREATE DATABASE LINK”. También es posible mitigar el problema quitando la primary key de la tabla base, pero esto influiría en el rendimiento. Oracle recomienda además crear vistas con la opción “WITH CHECK OPTION”.