Najbardziej niebezpieczna jest usterka związana z przepełnieniem bufora w formie ładowalnej Oracle.exe bazy danych Oracle 9i Release 2, 9i Release 1, 8i Version 8.1.7 i 8i Version 8.0.6.

Usterka dotyczy procesu uwierzytelniania w bazie danych. Wprowadzając zbyt długa nazwę użytkownika, napastnik mógł uzyskać przepełnienie bufora pozwalające na załadowanie jego własnego kodu do systemu.

Zobacz również:

• Microsoft zapowiada nową linię małych modeli językowych AI
• Najlepsze bezpłatne alternatywy dla pakietu Microsoft (Office) 365

Wykorzystanie tej usterki mogło się powieść, jeżeli aplikacja kliencka niewłaściwie ograniczała długość danych wysyłanych do bazy danych, przy czym trzeba tu zauważyć, że napisanie własnego kodu procesu uwierzytelniania Oracle nie nastręcza większych trudności doświadczonym programistom.

Pozostałe trzy usterki dotyczą tych samych wersji oraz wydań bazy danych i również są związane z efektem przepełnienia bufora, jednak mogą być wykorzystanie jedynie przez użytkownika , który może logować się legalnie do bazy danych.

Dwie usterki związane z Oracle 9i Application Server pojawiły się w wersji 9.0.2 i związane są z wprowadzonym wtedy mechanizmem WebDAV (Web Distributed Authoring and Versioning), który przekształca Web w system współdzielenia plików.

Mechanizm WebDAV jest włączany domyślnie i pozwala napastnikowi na anonimowe sprowadzanie plików do serwera. Napastnik może przejąć kontrolę nad serwerem wysyłając specjalnie sformatowany ciąg znaków.

Oracle udostępniła łatki na wszystkie usterki bazy danych dla większości platform operacyjnych, na niektóre platformy są one nadal w fazie opracowywania. Użytkownicy Application Server mogą wyłączyć mechanizm WebDAV lub uaktualnić serwer do wersji 9.0.3 i zastosować odpowiednie łatki.