Oracle Database sérülékenységei

CH azonosító

CH-4213

Angol cím

Oracle Database Multiple Vulnerabilities

Felfedezés dátuma

2011.01.18.

Súlyosság

Magas

Érintett rendszerek

Database
Oracle

Érintett verziók

Oracle Database 10.x
Oracle Database 11.x

Összefoglaló

Az Oracle Database többféle sérülékenységét jelentették, amelyeket a rosszindulatú helyi felhasználók kihasználva bizalmas adatokat tehetnek közzé, manipulálhatnak bizonyos adatokat és emelt szintű jogosultságokat szerezhetnek, illetve rosszindulatú felhasználók és a támadók bizalmas adatokat tehetnek közzé, manipulálhatnak bizonyos adatokat, valamint a támadók feltörhetik a sérülékeny rendszert.

Leírás

  1. Az Enterprise Manager Grid Control-ban bemenet ellenőrzési hiba található.
    Bővebb információért tekintse meg az #1 sérülékenységet:
    CERT-Hungary CH-4211
  2. A “Cluster Verify Utility” komponens egy meghatározatlan hibáját a helyi felhasználók kihasználva emelt szintű jogosultságokat szerezhetnek.
    Megjegyzés: Ez a sérülékenység csak a Windows-os változatokat érinti.
  3. A “Database Vault” komponens egy meghatározatlan hibáját kihasználva olvasás, beszúrás és törlés jogosultságok szerezhetőek a hozzáférhető adatok egy részéhez és jogosulatlan frissítések végezhetőek a komponens által.
  4. Az “Oracle Spatial” komponens egy meghatározatlan hibáját a hitelesített felhasználók kihasználva olvasás, beszúrás és törlés jogosultságokat szerezhetnek a hozzáférhető adatok egy részéhez és jogosulatlan frissítéseket végezhetnek a komponens által.
    A sérülékenység sikeres kihasználásához szükségesek az “Execute on MDSYS procedures” jogosultságok.
  5. A “Scheduler Agent” komponens egy meghatározatlan hibáját a hitelesített felhasználók kihasználva olvasás, beszúrás és törlés jogosultságokat szerezhetnek a hozzáférhető adatok egy részéhez és jogosulatlan frissítéseket végezhetnek a komponens által.
    A sérülékenység sikeres kihasználásához szükséges a “Valid User” jogosultság és többféle hitelesítés.
  6. A “Database Vault” komponens egy meghatározatlan hibáját a helyi felhasználók kihasználva olvasás, beszúrás és törlés jogosultságokat szerezhetnek a hozzáférhető adatok egy részéhez és jogosulatlan frissítéseket végezhetnek a komponens által.

A sérülékenységeket az alábbi termékekben jelentették:

  • Oracle Database 11g Release 2, 11.2.0.1 verzió.
  • Oracle Database 11g Release 1, 11.1.0.7 verzió.
  • Oracle Database 10g Release 2, 10.2.0.3, 10.2.0.4 és 10.2.0.5 verziók.
  • Oracle Database 10g Release 1, 10.1.0.5 verzió.

Megoldás

Telepítse a javítócsomagokat