Oracle Database sérülékenységek

2011. július 21. 07:03

CH azonosító

CH-5212

Angol cím

Oracle Database Multiple Vulnerabilities

Felfedezés dátuma

2011.07.19.

Súlyosság

Közepes

Érintett rendszerek

Database
Oracle

Érintett verziók

Oracle Database 10.x, 11.x

Összefoglaló

Az Oracle Database több sérülékenységét is jelentették, amelyeket rosszindulatú helyi felhasználók kihasználhatnak bizonyos tevékenységek emelt jogosultsággal történő végrehajtására, a támadók érzékeny információkat szerezhetnek meg, bizonyos adatokat módosíthatnak, feltörhetik a sérülékeny rendszert vagy szolgáltatás megtagadást (Denial of Service- DoS) okozhatnak.

Leírás

Az RDBMS komponens hibáját hitelesített felhasználók kihasználhátják az adatok módosítására.
A sérülékenység sikeres kihasználásához az XMLSEQ_IMP_T csomaghoz Create Library and Execute (könyvtár létrehozási és futtatási) jogosultság szükséges.
Az Enterprise Manager Grid Control komponens hibái is sérülékenységeket okoznak, melyről részletes információ az alábbi hivatkozáson található:
CERT-Hungary CH-5211
A Core RDBMS komponens három hibája is tetszőleges kód futtatátását teszi lehetővé hitelesített felhasználók számára.
Ezen három sérülékenység sikeres kihasználásához Create Session (munkafolyamat létrehozási) jogosultság szükséges.
A Core RDBMS komponens egy másik hibája tetszőleges kód futtatátását teszi lehetővé hitelesített felhasználók számára.
A sérülékenység sikeres kihasználásáhozCreate Session és Create Procedure (munkafolyamat létrehozási és eljárás létrehozási) jogosultság szükséges
Az XML Developer Kit komponens hibáját hitelesített felhasználók kihasználhatják tetszőleges kód lefuttatására.
A Core RDBMS komponens egy újabb hibája szolgáltatás megtagadás (DoS – Denial of Service) okozására használható ki.
Az XML Developer Kit komponens egy másik hibája szolgáltatás megtagadás okozására használható ki.
A Database Vault komponens hibáját a hitelesített felhasználók kihasználhatják bizonyos adatok megváltoztatására.
A sérülékenység a sikeres kihasználásához a DBMS_SYS_SQL-hez Execute (futtatási) jogosultság szükséges.
A Core RDBMS komponens egyik hibája lehetővé teszi, hogy a hitelesített felhasználók több adatot is módosítsanak.
A sérülékenység a sikeres kihasználásához SYSDBA-ként Create Session and Trigger (munkafolyamat létrehozási és indítási) jogosultság szükséges.
Az Oracle Universal Installer komponens hibáját hitelesített, helyi felhasználók kihasználhatják korlátozott adatokhoz való hozzáférésre.
A Core RDBMS komponens egyik hibáját hitelesített, helyi felhasználók kihasználhatják korlátozott adatokhoz való hozzáférésre.
A sérülékenység a sikeres kihasználásához XML DB FTP jogosultsággal történő bejelentkezés szükséges.

A sérülékenységeket az alábbi termékekben jelentették:

Oracle Database 11g 2. kiadás, 11.2.0.1 és 11.2.0.2 verziók
Oracle Database 11g 1. kiadás, 11.1.0.7 verzió
Oracle Database 10g 2. kiadás, 10.2.0.3, 10.2.0.4 és 10.2.0.5 verziók
Oracle Database 10g 1. kiadás, 10.1.0.5 verzió

Legfrissebb sérülékenységek

CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége

CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége

CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége

CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége

CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége

CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége

CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége

CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége

CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége

CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége

Tovább a sérülékenységekhez »

Oracle Database sérülékenységek