Oracle Database sérülékenységei


2011. január 19. 11:51

CH azonosító

CH-4213

Angol cím

Oracle Database Multiple Vulnerabilities

Felfedezés dátuma

2011.01.18.

Súlyosság

Magas

Érintett rendszerek

Database
Oracle

Érintett verziók

Oracle Database 10.x
Oracle Database 11.x

Összefoglaló

Az Oracle Database többféle sérülékenységét jelentették, amelyeket a rosszindulatú helyi felhasználók kihasználva bizalmas adatokat tehetnek közzé, manipulálhatnak bizonyos adatokat és emelt szintű jogosultságokat szerezhetnek, illetve rosszindulatú felhasználók és a támadók bizalmas adatokat tehetnek közzé, manipulálhatnak bizonyos adatokat, valamint a támadók feltörhetik a sérülékeny rendszert.

Leírás

  1. Az Enterprise Manager Grid Control-ban bemenet ellenőrzési hiba található.
    Bővebb információért tekintse meg az #1 sérülékenységet:
    CERT-Hungary CH-4211
  2. A “Cluster Verify Utility” komponens egy meghatározatlan hibáját a helyi felhasználók kihasználva emelt szintű jogosultságokat szerezhetnek.
    Megjegyzés: Ez a sérülékenység csak a Windows-os változatokat érinti.
  3. A “Database Vault” komponens egy meghatározatlan hibáját kihasználva olvasás, beszúrás és törlés jogosultságok szerezhetőek a hozzáférhető adatok egy részéhez és jogosulatlan frissítések végezhetőek a komponens által.
  4. Az “Oracle Spatial” komponens egy meghatározatlan hibáját a hitelesített felhasználók kihasználva olvasás, beszúrás és törlés jogosultságokat szerezhetnek a hozzáférhető adatok egy részéhez és jogosulatlan frissítéseket végezhetnek a komponens által.
    A sérülékenység sikeres kihasználásához szükségesek az “Execute on MDSYS procedures” jogosultságok.
  5. A “Scheduler Agent” komponens egy meghatározatlan hibáját a hitelesített felhasználók kihasználva olvasás, beszúrás és törlés jogosultságokat szerezhetnek a hozzáférhető adatok egy részéhez és jogosulatlan frissítéseket végezhetnek a komponens által.
    A sérülékenység sikeres kihasználásához szükséges a “Valid User” jogosultság és többféle hitelesítés.
  6. A “Database Vault” komponens egy meghatározatlan hibáját a helyi felhasználók kihasználva olvasás, beszúrás és törlés jogosultságokat szerezhetnek a hozzáférhető adatok egy részéhez és jogosulatlan frissítéseket végezhetnek a komponens által.

A sérülékenységeket az alábbi termékekben jelentették:

  • Oracle Database 11g Release 2, 11.2.0.1 verzió.
  • Oracle Database 11g Release 1, 11.1.0.7 verzió.
  • Oracle Database 10g Release 2, 10.2.0.3, 10.2.0.4 és 10.2.0.5 verziók.
  • Oracle Database 10g Release 1, 10.1.0.5 verzió.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Input manipulation (Bemenet módosítás)
Misconfiguration (Konfiguráció)
Other (Egyéb)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 42895
SECUNIA 42921
CERT-Hungary CH-4211
CVE-2010-3590 - NVD CVE-2010-3590
CVE-2010-3600 - NVD CVE-2010-3600
CVE-2010-4413 - NVD CVE-2010-4413
CVE-2010-4420 - NVD CVE-2010-4420
CVE-2010-4421 - NVD CVE-2010-4421
CVE-2010-4423 - NVD CVE-2010-4423
Gyártói referencia: www.oracle.com

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-7656 – Google Chrome sérülékenysége
CVE-2025-6541 – TP-Link sérülékenysége
CVE-2025-61884 – Oracle E-Business Suite Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2025-2747 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2025-2746 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2022-48503 – Apple Multiple Products Unspecified sérülékenysége
CVE-2025-61932 – Motex LANSCOPE Endpoint Manager sérülékenysége
CVE-2025-54957 – Dolby UDC out-of-bounds write sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
Tovább a sérülékenységekhez »