Oracle Database sérülékenységei


2011. január 19. 11:51

CH azonosító

CH-4213

Angol cím

Oracle Database Multiple Vulnerabilities

Felfedezés dátuma

2011.01.18.

Súlyosság

Magas

Érintett rendszerek

Database
Oracle

Érintett verziók

Oracle Database 10.x
Oracle Database 11.x

Összefoglaló

Az Oracle Database többféle sérülékenységét jelentették, amelyeket a rosszindulatú helyi felhasználók kihasználva bizalmas adatokat tehetnek közzé, manipulálhatnak bizonyos adatokat és emelt szintű jogosultságokat szerezhetnek, illetve rosszindulatú felhasználók és a támadók bizalmas adatokat tehetnek közzé, manipulálhatnak bizonyos adatokat, valamint a támadók feltörhetik a sérülékeny rendszert.

Leírás

  1. Az Enterprise Manager Grid Control-ban bemenet ellenőrzési hiba található.
    Bővebb információért tekintse meg az #1 sérülékenységet:
    CERT-Hungary CH-4211
  2. A “Cluster Verify Utility” komponens egy meghatározatlan hibáját a helyi felhasználók kihasználva emelt szintű jogosultságokat szerezhetnek.
    Megjegyzés: Ez a sérülékenység csak a Windows-os változatokat érinti.
  3. A “Database Vault” komponens egy meghatározatlan hibáját kihasználva olvasás, beszúrás és törlés jogosultságok szerezhetőek a hozzáférhető adatok egy részéhez és jogosulatlan frissítések végezhetőek a komponens által.
  4. Az “Oracle Spatial” komponens egy meghatározatlan hibáját a hitelesített felhasználók kihasználva olvasás, beszúrás és törlés jogosultságokat szerezhetnek a hozzáférhető adatok egy részéhez és jogosulatlan frissítéseket végezhetnek a komponens által.
    A sérülékenység sikeres kihasználásához szükségesek az “Execute on MDSYS procedures” jogosultságok.
  5. A “Scheduler Agent” komponens egy meghatározatlan hibáját a hitelesített felhasználók kihasználva olvasás, beszúrás és törlés jogosultságokat szerezhetnek a hozzáférhető adatok egy részéhez és jogosulatlan frissítéseket végezhetnek a komponens által.
    A sérülékenység sikeres kihasználásához szükséges a “Valid User” jogosultság és többféle hitelesítés.
  6. A “Database Vault” komponens egy meghatározatlan hibáját a helyi felhasználók kihasználva olvasás, beszúrás és törlés jogosultságokat szerezhetnek a hozzáférhető adatok egy részéhez és jogosulatlan frissítéseket végezhetnek a komponens által.

A sérülékenységeket az alábbi termékekben jelentették:

  • Oracle Database 11g Release 2, 11.2.0.1 verzió.
  • Oracle Database 11g Release 1, 11.1.0.7 verzió.
  • Oracle Database 10g Release 2, 10.2.0.3, 10.2.0.4 és 10.2.0.5 verziók.
  • Oracle Database 10g Release 1, 10.1.0.5 verzió.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Input manipulation (Bemenet módosítás)
Misconfiguration (Konfiguráció)
Other (Egyéb)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 42895
SECUNIA 42921
CERT-Hungary CH-4211
CVE-2010-3590 - NVD CVE-2010-3590
CVE-2010-3600 - NVD CVE-2010-3600
CVE-2010-4413 - NVD CVE-2010-4413
CVE-2010-4420 - NVD CVE-2010-4420
CVE-2010-4421 - NVD CVE-2010-4421
CVE-2010-4423 - NVD CVE-2010-4423
Gyártói referencia: www.oracle.com

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »