Oracle Database sérülékenységek


2011. október 19. 10:06

CH azonosító

CH-5781

Angol cím

Oracle Database Multiple Vulnerabilities

Felfedezés dátuma

2011.10.18.

Súlyosság

Alacsony

Érintett rendszerek

Database Server
Oracle

Érintett verziók

Oracle Database 10.x, 11.x

Összefoglaló

Az Oracle Database több sérülékenysége vált ismertté, amelyet kihasználva  rosszindulatú helyi felhasználók bizonyos műveleteket kiterjesztett jogosultságokkal hajthatnak végre, míg a támadók bizalmas információkat fedhetnek fel, módosíthatnak bizonyos adatokat, szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak és feltörhetik a sérülékeny rendszert.

Leírás

  1. Az Application Express komponensben jelentkező nem részletezett hibát kihasználhatják a hitelesített felhasználók.
    A sérülékenységet sikeres kihasználása esetén tetszőleges kód futtatása lehetséges, de ehhez APEX developer felhasználói jogosultság szükséges.
  2. A Core RDBMS komponensben jelentkező nem részletezett hibát kihasználva a hitelesített felhasználók felfedhetnek és módosíthatnak bizonyos adatokat.
    A sérülékenység kihasználása “create session”, “create procedure” és “create table” jogosultságot igényel.
  3. Az Oracle Text komponens nem részletezett hibáját kihasználva a helyi felhasználók bizonyos műveleteket kiterjesztett jogosultságokkal hajthatnak végre.
    A sérülékenység kihasználása “Execute on CTXSYS.DRVDISP” jogosultságot igényel.
  4. A Database Vault komponens nem részletezett hibáját kihasználva a hitelesített felhasználók módosíthatnak bizonyos adatokat és szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak.
    A sérülékenység kihasználása “Privileged Account” jogosultságot igényel.
  5. A Database Vault komponens nem részletezett hibáját kihasználva a hitelesített felhasználók módosíthatnak bizonyos adatokat és szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak.
    A sérülékenység kihasználása “SYSDBA” jogosultságot igényel.

A sérülékenységeket a következő termékekben jelentették:
Oracle Database 11g Release 2 version 11.2.0.2.
Oracle Database 11g Release 1 version 11.1.0.7.
Oracle Database 10g Release 2 versions 10.2.0.3, 10.2.0.4, és 10.2.0.5.
Oracle Database 10g Release 1 version 10.1.0.5.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Unspecified (Nem részletezett)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)

Hivatkozások

Gyártói referencia: www.oracle.com
Egyéb referencia: www.teamshatter.com
Egyéb referencia: www.teamshatter.com
Egyéb referencia: www.teamshatter.com
CVE-2011-2301 - NVD CVE-2011-2301
CVE-2011-2322 - NVD CVE-2011-2322
CVE-2011-3511 - NVD CVE-2011-3511
CVE-2011-3512 - NVD CVE-2011-3512
CVE-2011-3525 - NVD CVE-2011-3525
CVE-2012-3137 - NVD CVE-2012-3137
SECUNIA 46502

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2024-52875 – KerioControl CRLF injection sebezhetősége
CVE-2020-15069 – Sophos XG Firewall Buffer Overflow sebezhetősége
CVE-2020-29574 – CyberoamOS (CROS) SQL Injection sebezhetősége
CVE-2024-21413 – Microsoft Outlook Improper Input Validation sebezhetősége
CVE-2022-23748 – Dante Discovery Process Control sebezhetősége
CVE-2025-0411 – 7-Zip Mark of the Web Bypass sebezhetősége
CVE-2025-0994 – Trimble Cityworks Deserialization sebezhetősége
CVE-2024-45195 – Apache OFBiz Forced Browsing sebezhetősége
CVE-2024-29059 – Microsoft .NET Framework Information Disclosure sebezhetősége
Tovább a sérülékenységekhez »