Oracle Database sérülékenységek

CH azonosító

CH-5212

Angol cím

Oracle Database Multiple Vulnerabilities

Felfedezés dátuma

2011.07.19.

Súlyosság

Közepes

Érintett rendszerek

Database
Oracle

Érintett verziók

Oracle Database 10.x, 11.x

Összefoglaló

Az Oracle Database több sérülékenységét is jelentették, amelyeket rosszindulatú helyi felhasználók kihasználhatnak bizonyos tevékenységek emelt jogosultsággal történő végrehajtására, a támadók érzékeny információkat szerezhetnek meg, bizonyos adatokat módosíthatnak, feltörhetik a sérülékeny rendszert vagy szolgáltatás megtagadást (Denial of Service- DoS) okozhatnak.

Leírás

  1. Az RDBMS komponens hibáját hitelesített felhasználók kihasználhátják az adatok módosítására.
    A sérülékenység sikeres kihasználásához az XMLSEQ_IMP_T csomaghoz Create Library and Execute (könyvtár létrehozási és futtatási) jogosultság szükséges.
  2. Az Enterprise Manager Grid Control komponens hibái is sérülékenységeket okoznak, melyről részletes információ az alábbi hivatkozáson található:
    CERT-Hungary CH-5211
  3. A Core RDBMS komponens három hibája is tetszőleges kód futtatátását teszi lehetővé hitelesített felhasználók számára.
    Ezen három sérülékenység sikeres kihasználásához Create Session (munkafolyamat létrehozási) jogosultság szükséges.
  4. A Core RDBMS komponens egy másik hibája tetszőleges kód futtatátását teszi lehetővé hitelesített felhasználók számára.
    A sérülékenység sikeres kihasználásáhozCreate Session és Create Procedure (munkafolyamat létrehozási és eljárás létrehozási) jogosultság szükséges
  5. Az XML Developer Kit komponens hibáját hitelesített felhasználók kihasználhatják tetszőleges kód lefuttatására.
  6. A Core RDBMS komponens egy újabb hibája szolgáltatás megtagadás (DoS – Denial of Service) okozására használható ki.
  7. Az XML Developer Kit komponens egy másik hibája szolgáltatás megtagadás okozására használható ki.
  8. A Database Vault komponens hibáját a hitelesített felhasználók kihasználhatják bizonyos adatok megváltoztatására.
    A sérülékenység a sikeres kihasználásához a DBMS_SYS_SQL-hez Execute (futtatási) jogosultság szükséges.
  9. A Core RDBMS komponens egyik hibája lehetővé teszi, hogy a hitelesített felhasználók több adatot is módosítsanak.
    A sérülékenység a sikeres kihasználásához SYSDBA-ként Create Session and Trigger (munkafolyamat létrehozási és indítási) jogosultság szükséges.
  10. Az Oracle Universal Installer komponens hibáját hitelesített, helyi felhasználók kihasználhatják korlátozott adatokhoz való hozzáférésre.
  11. A Core RDBMS komponens egyik hibáját hitelesített, helyi felhasználók kihasználhatják korlátozott adatokhoz való hozzáférésre.
    A sérülékenység a sikeres kihasználásához XML DB FTP jogosultsággal történő bejelentkezés szükséges.

A sérülékenységeket az alábbi termékekben jelentették:

  • Oracle Database 11g 2. kiadás, 11.2.0.1 és 11.2.0.2 verziók
  • Oracle Database 11g 1. kiadás, 11.1.0.7 verzió
  • Oracle Database 10g 2. kiadás, 10.2.0.3, 10.2.0.4 és 10.2.0.5 verziók
  • Oracle Database 10g 1. kiadás, 10.1.0.5 verzió

Megoldás

Frissítsen a legújabb verzióra