Oracle Database sérülékenységek


2011. október 19. 10:06

CH azonosító

CH-5781

Angol cím

Oracle Database Multiple Vulnerabilities

Felfedezés dátuma

2011.10.18.

Súlyosság

Alacsony

Érintett rendszerek

Database Server
Oracle

Érintett verziók

Oracle Database 10.x, 11.x

Összefoglaló

Az Oracle Database több sérülékenysége vált ismertté, amelyet kihasználva  rosszindulatú helyi felhasználók bizonyos műveleteket kiterjesztett jogosultságokkal hajthatnak végre, míg a támadók bizalmas információkat fedhetnek fel, módosíthatnak bizonyos adatokat, szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak és feltörhetik a sérülékeny rendszert.

Leírás

  1. Az Application Express komponensben jelentkező nem részletezett hibát kihasználhatják a hitelesített felhasználók.
    A sérülékenységet sikeres kihasználása esetén tetszőleges kód futtatása lehetséges, de ehhez APEX developer felhasználói jogosultság szükséges.
  2. A Core RDBMS komponensben jelentkező nem részletezett hibát kihasználva a hitelesített felhasználók felfedhetnek és módosíthatnak bizonyos adatokat.
    A sérülékenység kihasználása “create session”, “create procedure” és “create table” jogosultságot igényel.
  3. Az Oracle Text komponens nem részletezett hibáját kihasználva a helyi felhasználók bizonyos műveleteket kiterjesztett jogosultságokkal hajthatnak végre.
    A sérülékenység kihasználása “Execute on CTXSYS.DRVDISP” jogosultságot igényel.
  4. A Database Vault komponens nem részletezett hibáját kihasználva a hitelesített felhasználók módosíthatnak bizonyos adatokat és szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak.
    A sérülékenység kihasználása “Privileged Account” jogosultságot igényel.
  5. A Database Vault komponens nem részletezett hibáját kihasználva a hitelesített felhasználók módosíthatnak bizonyos adatokat és szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak.
    A sérülékenység kihasználása “SYSDBA” jogosultságot igényel.

A sérülékenységeket a következő termékekben jelentették:
Oracle Database 11g Release 2 version 11.2.0.2.
Oracle Database 11g Release 1 version 11.1.0.7.
Oracle Database 10g Release 2 versions 10.2.0.3, 10.2.0.4, és 10.2.0.5.
Oracle Database 10g Release 1 version 10.1.0.5.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Unspecified (Nem részletezett)

Szükséges hozzáférés

Local/Shell (Helyi/shell)

Hivatkozások

Gyártói referencia: www.oracle.com
Egyéb referencia: www.teamshatter.com
Egyéb referencia: www.teamshatter.com
Egyéb referencia: www.teamshatter.com
CVE-2011-2301 - NVD CVE-2011-2301
CVE-2011-2322 - NVD CVE-2011-2322
CVE-2011-3511 - NVD CVE-2011-3511
CVE-2011-3512 - NVD CVE-2011-3512
CVE-2011-3525 - NVD CVE-2011-3525
CVE-2012-3137 - NVD CVE-2012-3137
SECUNIA 46502

Legfrissebb sérülékenységek
CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication sérülékenysége
CVE-2025-14733 – WatchGuard Firebox Out of Bounds Write sérülékenység
CVE-2023-52163 – Digiever DS-2105 Pro Missing Authorization sérülékenység
CVE-2025-14847 – MongoDB and MongoDB Server Improper Handling of Length Parameter Inconsistency sérülékenység
CVE-2025-40602 – SonicWall SMA1000 Missing Authorization sérülékenysége
CVE-2025-59374 – ASUS Live Update Embedded Malicious Code sérülékenysége
CVE-2025-20393 – Cisco Multiple Products Improper Input Validation sérülékenysége
CVE-2025-58360 – OSGeo GeoServer Improper Restriction of XML External Entity Reference sérülékenysége
CVE-2018-4063 – Sierra Wireless AirLink ALEOS Unrestricted Upload of File with Dangerous Type sérülékenysége
CVE-2025-14174 – Google Chromium Out of Bounds Memory Access sérülékenysége
Tovább a sérülékenységekhez »