Oracle Database sérülékenységei


2011. január 19. 11:51

CH azonosító

CH-4213

Angol cím

Oracle Database Multiple Vulnerabilities

Felfedezés dátuma

2011.01.18.

Súlyosság

Magas

Érintett rendszerek

Database
Oracle

Érintett verziók

Oracle Database 10.x
Oracle Database 11.x

Összefoglaló

Az Oracle Database többféle sérülékenységét jelentették, amelyeket a rosszindulatú helyi felhasználók kihasználva bizalmas adatokat tehetnek közzé, manipulálhatnak bizonyos adatokat és emelt szintű jogosultságokat szerezhetnek, illetve rosszindulatú felhasználók és a támadók bizalmas adatokat tehetnek közzé, manipulálhatnak bizonyos adatokat, valamint a támadók feltörhetik a sérülékeny rendszert.

Leírás

  1. Az Enterprise Manager Grid Control-ban bemenet ellenőrzési hiba található.
    Bővebb információért tekintse meg az #1 sérülékenységet:
    CERT-Hungary CH-4211
  2. A “Cluster Verify Utility” komponens egy meghatározatlan hibáját a helyi felhasználók kihasználva emelt szintű jogosultságokat szerezhetnek.
    Megjegyzés: Ez a sérülékenység csak a Windows-os változatokat érinti.
  3. A “Database Vault” komponens egy meghatározatlan hibáját kihasználva olvasás, beszúrás és törlés jogosultságok szerezhetőek a hozzáférhető adatok egy részéhez és jogosulatlan frissítések végezhetőek a komponens által.
  4. Az “Oracle Spatial” komponens egy meghatározatlan hibáját a hitelesített felhasználók kihasználva olvasás, beszúrás és törlés jogosultságokat szerezhetnek a hozzáférhető adatok egy részéhez és jogosulatlan frissítéseket végezhetnek a komponens által.
    A sérülékenység sikeres kihasználásához szükségesek az “Execute on MDSYS procedures” jogosultságok.
  5. A “Scheduler Agent” komponens egy meghatározatlan hibáját a hitelesített felhasználók kihasználva olvasás, beszúrás és törlés jogosultságokat szerezhetnek a hozzáférhető adatok egy részéhez és jogosulatlan frissítéseket végezhetnek a komponens által.
    A sérülékenység sikeres kihasználásához szükséges a “Valid User” jogosultság és többféle hitelesítés.
  6. A “Database Vault” komponens egy meghatározatlan hibáját a helyi felhasználók kihasználva olvasás, beszúrás és törlés jogosultságokat szerezhetnek a hozzáférhető adatok egy részéhez és jogosulatlan frissítéseket végezhetnek a komponens által.

A sérülékenységeket az alábbi termékekben jelentették:

  • Oracle Database 11g Release 2, 11.2.0.1 verzió.
  • Oracle Database 11g Release 1, 11.1.0.7 verzió.
  • Oracle Database 10g Release 2, 10.2.0.3, 10.2.0.4 és 10.2.0.5 verziók.
  • Oracle Database 10g Release 1, 10.1.0.5 verzió.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Input manipulation (Bemenet módosítás)
Misconfiguration (Konfiguráció)
Other (Egyéb)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 42895
SECUNIA 42921
CERT-Hungary CH-4211
CVE-2010-3590 - NVD CVE-2010-3590
CVE-2010-3600 - NVD CVE-2010-3600
CVE-2010-4413 - NVD CVE-2010-4413
CVE-2010-4420 - NVD CVE-2010-4420
CVE-2010-4421 - NVD CVE-2010-4421
CVE-2010-4423 - NVD CVE-2010-4423
Gyártói referencia: www.oracle.com

Legfrissebb sérülékenységek
WinZip Mark-of-the-Web kezelési sérülékenysége – WinZip Mark-of-the-Web kezelési sérülékenysége
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-10224 – Linux ScanDeps sérülékenysége
CVE-2024-11003 – Linux needrestart sérülékenysége
CVE-2024-48992 – Linux needrestart sérülékenysége
CVE-2024-48991 – Linux needrestart sérülékenysége
CVE-2024-48990 – Linux needrestart sérülékenysége
Tovább a sérülékenységekhez »