Összefoglaló
Az Oracle Database több olyan sérülékenységét jelentették, amelyeket kihasználva rosszindulatú helyi felhasználók módosíthatnak bizonyos adatokat rosszindulatú felhasználók kiszivárogtathatnak vagy módosíthatnak bizonyos adatokat és feltörhetik a sérülékeny rendszert, valamint a támadók módosíthatnak bizonyos adatokat vagy feltörhetik a sérülékeny rendszert.
Leírás
- Az Oracle Enterprise Manager Grid Control egy nem részletezett hibáját kihasználva tetszőleges kód futtatása lehetséges.
Bővebb információ:
CERT-Hungary CH-3789 - A SecurityManager implementációjában, a “Java Virtual Machine” komponensben versenyhelyzet kialakulása miatti hibáját a jogosultsággal rendelkező felhasználók kihasználhatják a sandbox-on kívüli Java kód futtatásra.
- A “Change Data Capture” komponens meghatározatlan hibáját a jogosultsággal rendelkező felhasználók kihasználhatják bizonyos adatok kiszivárogtatására vagy módosítására. Ez kapcsolatban állhat a Kerberos AP-REQ hitelesítők feldolgozásakor fellépő NULL mutató hivatkozás feloldási (NULL pointer dereference) hibákkal, ami kihasználható a GSS-API könyvtárhoz kapcsolódó alkalmazások összeomlásának előidézésére, olyan AP-REQ hitelesítők elküldésével, ahol hiányzik az ellenőrző összeg mező.
Bővebb információ:
CERT-Hungary CH-3134 - Az “OLAP” komponens meghatározatlan hibáját a jogosultsággal rendelkező felhasználók kihasználhatják bizonyos adatok kiszivárogtatására vagy módosítására.
- A “Change Data Capture” komponens meghatározatlan hibáját a jogosultsággal rendelkező felhasználók kihasználhatják bizonyos adatok kiszivárogtatására vagy módosítására.
- A “Job Queue” komponens meghatározatlan hibáját a jogosultsággal rendelkező felhasználók kihasználhatják tetszőleges kód futtatására.
- Az “XDK” komponens meghatározatlan hibája kihasználható bizonyos adatok módosítására.
- A “Core RDBMS” komponens meghatározatlan hibáját a jogosultsággal rendelkező felhasználók kihasználhatják bizonyos adatok kiszivárogtatására vagy módosítására.
- A “Perl” komponens meghatározatlan hibáját a jogosultsággal rendelkező helyi felhasználók kihasználhatják bizonyos adatok módosítására.
A sérülékenységeket az alábbi termékekben és verziókban jelentették:
- Oracle Database 11g, 2 kiadás, 11.2.0.1 verzió
- Oracle Database 11g, 1 kiadás, 11.1.0.7 verzió
- Oracle Database 10g, 2 kiadás, 10.2.0.3 és 10.2.0.4 verziók
- Oracle Database 10g, 1 kiadás, 10.1.0.5 verzió
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Information disclosure (Információ/adat szivárgás)Input manipulation (Bemenet módosítás)
Race condition (Versenyhelyzet)
Unknown (Ismeretlen)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Remote/Network (Távoli/hálózat)
Hivatkozások
Gyártói referencia: www.oracle.com
Egyéb referencia: www.zerodayinitiative.com
SECUNIA 41815
SECUNIA 41794
SECUNIA 39762
CERT-Hungary CH-3789
CERT-Hungary CH-3134
CVE-2010-1321 - NVD CVE-2010-1321
CVE-2010-2389 - NVD CVE-2010-2389
CVE-2010-2390 - NVD CVE-2010-2390
CVE-2010-2391 - NVD CVE-2010-2391
CVE-2010-2407 - NVD CVE-2010-2407
CVE-2010-2411 - NVD CVE-2010-2411
CVE-2010-2412 - NVD CVE-2010-2412
CVE-2010-2415 - NVD CVE-2010-2415
CVE-2010-2419 - NVD CVE-2010-2419
