Oracle Database sérülékenységek


2011. július 21. 07:03

CH azonosító

CH-5212

Angol cím

Oracle Database Multiple Vulnerabilities

Felfedezés dátuma

2011.07.19.

Súlyosság

Közepes

Érintett rendszerek

Database
Oracle

Érintett verziók

Oracle Database 10.x, 11.x

Összefoglaló

Az Oracle Database több sérülékenységét is jelentették, amelyeket rosszindulatú helyi felhasználók kihasználhatnak bizonyos tevékenységek emelt jogosultsággal történő végrehajtására, a támadók érzékeny információkat szerezhetnek meg, bizonyos adatokat módosíthatnak, feltörhetik a sérülékeny rendszert vagy szolgáltatás megtagadást (Denial of Service- DoS) okozhatnak.

Leírás

  1. Az RDBMS komponens hibáját hitelesített felhasználók kihasználhátják az adatok módosítására.
    A sérülékenység sikeres kihasználásához az XMLSEQ_IMP_T csomaghoz Create Library and Execute (könyvtár létrehozási és futtatási) jogosultság szükséges.
  2. Az Enterprise Manager Grid Control komponens hibái is sérülékenységeket okoznak, melyről részletes információ az alábbi hivatkozáson található:
    CERT-Hungary CH-5211
  3. A Core RDBMS komponens három hibája is tetszőleges kód futtatátását teszi lehetővé hitelesített felhasználók számára.
    Ezen három sérülékenység sikeres kihasználásához Create Session (munkafolyamat létrehozási) jogosultság szükséges.
  4. A Core RDBMS komponens egy másik hibája tetszőleges kód futtatátását teszi lehetővé hitelesített felhasználók számára.
    A sérülékenység sikeres kihasználásáhozCreate Session és Create Procedure (munkafolyamat létrehozási és eljárás létrehozási) jogosultság szükséges
  5. Az XML Developer Kit komponens hibáját hitelesített felhasználók kihasználhatják tetszőleges kód lefuttatására.
  6. A Core RDBMS komponens egy újabb hibája szolgáltatás megtagadás (DoS – Denial of Service) okozására használható ki.
  7. Az XML Developer Kit komponens egy másik hibája szolgáltatás megtagadás okozására használható ki.
  8. A Database Vault komponens hibáját a hitelesített felhasználók kihasználhatják bizonyos adatok megváltoztatására.
    A sérülékenység a sikeres kihasználásához a DBMS_SYS_SQL-hez Execute (futtatási) jogosultság szükséges.
  9. A Core RDBMS komponens egyik hibája lehetővé teszi, hogy a hitelesített felhasználók több adatot is módosítsanak.
    A sérülékenység a sikeres kihasználásához SYSDBA-ként Create Session and Trigger (munkafolyamat létrehozási és indítási) jogosultság szükséges.
  10. Az Oracle Universal Installer komponens hibáját hitelesített, helyi felhasználók kihasználhatják korlátozott adatokhoz való hozzáférésre.
  11. A Core RDBMS komponens egyik hibáját hitelesített, helyi felhasználók kihasználhatják korlátozott adatokhoz való hozzáférésre.
    A sérülékenység a sikeres kihasználásához XML DB FTP jogosultsággal történő bejelentkezés szükséges.

A sérülékenységeket az alábbi termékekben jelentették:

  • Oracle Database 11g 2. kiadás, 11.2.0.1 és 11.2.0.2 verziók
  • Oracle Database 11g 1. kiadás, 11.1.0.7 verzió
  • Oracle Database 10g 2. kiadás, 10.2.0.3, 10.2.0.4 és 10.2.0.5 verziók
  • Oracle Database 10g 1. kiadás, 10.1.0.5 verzió

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Authentication Issues (Hitelesítés)
Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Other (Egyéb)
Security bypass (Biztonsági szabályok megkerülése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.oracle.com
SECUNIA 45274
SECUNIA 45275
CERT-Hungary CH-5211
CVE-2011-0811 - NVD CVE-2011-0811
CVE-2011-0816 - NVD CVE-2011-0816
CVE-2011-0822 - NVD CVE-2011-0822
CVE-2011-0830 - NVD CVE-2011-0830
CVE-2011-0831 - NVD CVE-2011-0831
CVE-2011-0832 - NVD CVE-2011-0832
CVE-2011-0835 - NVD CVE-2011-0835
CVE-2011-0838 - NVD CVE-2011-0838
CVE-2011-0848 - NVD CVE-2011-0848
CVE-2011-0852 - NVD CVE-2011-0852
CVE-2011-0870 - NVD CVE-2011-0870
CVE-2011-0875 - NVD CVE-2011-0875
CVE-2011-0876 - NVD CVE-2011-0876
CVE-2011-0877 - NVD CVE-2011-0877
CVE-2011-0879 - NVD CVE-2011-0879
CVE-2011-0880 - NVD CVE-2011-0880
CVE-2011-0881 - NVD CVE-2011-0881
CVE-2011-0882 - NVD CVE-2011-0882
CVE-2011-2230 - NVD CVE-2011-2230
CVE-2011-2231 - NVD CVE-2011-2231
CVE-2011-2232 - NVD CVE-2011-2232
CVE-2011-2238 - NVD CVE-2011-2238
CVE-2011-2239 - NVD CVE-2011-2239
CVE-2011-2240 - NVD CVE-2011-2240
CVE-2011-2242 - NVD CVE-2011-2242
CVE-2011-2243 - NVD CVE-2011-2243
CVE-2011-2244 - NVD CVE-2011-2244
CVE-2011-2248 - NVD CVE-2011-2248
CVE-2011-2257 - NVD CVE-2011-2257

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2024-12912 – ASUS Router AiCloud sérülékenysége
CVE-2025-58034 – Fortinet FortiWeb OS Command Injection sérülékenysége
CVE-2025-13224 – Google Chrome sérülékenysége
CVE-2025-13223 – Google Chromium V8 Type Confusion sérülékenysége
CVE-2025-24893 – XWiki Platform Eval Injection sérülékenysége
CVE-2025-25256 – Fortinet FortiSIEM sebezhetősége
CVE-2022-40684 – Fortinet Multiple Products Authentication Bypass sebezhetősége
CVE-2025-59367 – ASUS DSL Router sérülékenysége
CVE-2025-64446 – Fortinet FortiWeb Path Traversal sérülékenysége
Tovább a sérülékenységekhez »