Összefoglaló
Az Oracle Database olyan sérülékenységei váltak ismertté, melyeket kihasználva támadók veszélyeztethetik a sérülékeny rendszert, érzékeny információkhoz juthatnak hozzá és módosíthatnak bizonyos adatokat.
Leírás
Az Oracle Database olyan sérülékenységei váltak ismertté, melyeket kihasználva támadók veszélyeztethetik a sérülékeny rendszert, érzékeny információkhoz juthatnak hozzá és módosíthatnak bizonyos adatokat.
- Az Oracle Internet Directory komponens hibája kihasználható egyes adatok megszerzésére vagy módosítására.
- A Core RDBMS komponens hibája kihasználható hitelesített felhasználók által tetszőleges kód futtatására.
- Az XML DB komponens hibája kihasználható hitelesített felhasználók által egyes adatok megszerzésére vagy módosítására.
- Az XML DB komponens egy másik hibája kihasználható hitelesített felhasználók által egyes adatok megszerzésére.
- A “Data Capture” komponens “DBMS_CDC_PUBLISH PL/SQL” csomagjána található “DROP_CHANGE_SOURCE” eljárásnak átadott bemenet nincs megfelelően megtisztítva mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
A sebeezhetősség sikeres kihasználása SQl parancsok futtatását teszi lehetővé a SYS felhasználó jogosultságával, de ehhez hitelesített hozzáférés mellet az “EXECUTE” jogosultság megléte szükésges a “SYS.DBMS_CDC_PUBLISH” csomagra. - Az Audit komponens hibája kihasználható hitelesített felhasználók által egyes adatok módosítására.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Unknown (Ismeretlen)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2010-0870 - NVD CVE-2010-0870
CVE-2010-0860 - NVD CVE-2010-0860
CVE-2010-0854 - NVD CVE-2010-0854
CVE-2010-0853 - NVD CVE-2010-0853
Gyártói referencia: www.oracle.com
SECUNIA 39438
CVE-2010-0851 - NVD CVE-2010-0851
CVE-2010-0852 - NVD CVE-2010-0852