Oracle Database sérülékenységek

CH azonosító

CH-3790

Angol cím

Oracle Database Multiple Vulnerabilities

Felfedezés dátuma

2010.10.13.

Súlyosság

Közepes

Érintett rendszerek

Database
Oracle

Érintett verziók

Oracle Database 10.x
Oracle Database 11.x

Összefoglaló

Az Oracle Database több olyan sérülékenységét jelentették, amelyeket kihasználva rosszindulatú helyi felhasználók módosíthatnak bizonyos adatokat rosszindulatú felhasználók kiszivárogtathatnak vagy módosíthatnak bizonyos adatokat és feltörhetik a sérülékeny rendszert, valamint a támadók módosíthatnak bizonyos adatokat vagy feltörhetik a sérülékeny rendszert.

Leírás

  1. Az Oracle Enterprise Manager Grid Control egy nem részletezett hibáját kihasználva tetszőleges kód futtatása lehetséges.
    Bővebb információ:
    CERT-Hungary CH-3789
  2. A SecurityManager implementációjában, a “Java Virtual Machine” komponensben versenyhelyzet kialakulása miatti hibáját a jogosultsággal rendelkező felhasználók kihasználhatják a sandbox-on kívüli Java kód futtatásra.
  3. A “Change Data Capture” komponens meghatározatlan hibáját a jogosultsággal rendelkező felhasználók kihasználhatják bizonyos adatok kiszivárogtatására vagy módosítására. Ez kapcsolatban állhat a Kerberos AP-REQ hitelesítők feldolgozásakor fellépő NULL mutató hivatkozás feloldási (NULL pointer dereference) hibákkal, ami kihasználható a GSS-API könyvtárhoz kapcsolódó alkalmazások összeomlásának előidézésére, olyan AP-REQ hitelesítők elküldésével, ahol hiányzik az ellenőrző összeg mező.
    Bővebb információ:
    CERT-Hungary CH-3134
  4. Az “OLAP” komponens meghatározatlan hibáját a jogosultsággal rendelkező felhasználók kihasználhatják bizonyos adatok kiszivárogtatására vagy módosítására.
  5. A “Change Data Capture” komponens meghatározatlan hibáját a jogosultsággal rendelkező felhasználók kihasználhatják bizonyos adatok kiszivárogtatására vagy módosítására.
  6. A “Job Queue” komponens meghatározatlan hibáját a jogosultsággal rendelkező felhasználók kihasználhatják tetszőleges kód futtatására.
  7. Az “XDK” komponens meghatározatlan hibája kihasználható bizonyos adatok módosítására.
  8. A “Core RDBMS” komponens meghatározatlan hibáját a jogosultsággal rendelkező felhasználók kihasználhatják bizonyos adatok kiszivárogtatására vagy módosítására.
  9. A “Perl” komponens meghatározatlan hibáját a jogosultsággal rendelkező helyi felhasználók kihasználhatják bizonyos adatok módosítására.

A sérülékenységeket az alábbi termékekben és verziókban jelentették:

  • Oracle Database 11g, 2 kiadás, 11.2.0.1 verzió
  • Oracle Database 11g, 1 kiadás, 11.1.0.7 verzió
  • Oracle Database 10g, 2 kiadás, 10.2.0.3 és 10.2.0.4 verziók
  • Oracle Database 10g, 1 kiadás, 10.1.0.5 verzió

Megoldás

Telepítse a javítócsomagokat