Oracle Database többszörös sérülékenység

CH azonosító

CH-3048

Felfedezés dátuma

2010.04.13.

Súlyosság

Közepes

Érintett rendszerek

Database
Oracle

Érintett verziók

Oracle Database 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.3, 10.2.0.4, 11.1.0.7, 11.2.0.1

Összefoglaló

Az Oracle Database olyan sérülékenységei váltak ismertté, melyeket kihasználva támadók veszélyeztethetik a sérülékeny rendszert, érzékeny információkhoz juthatnak hozzá és módosíthatnak bizonyos adatokat.

Leírás

Az Oracle Database olyan sérülékenységei váltak ismertté, melyeket kihasználva támadók veszélyeztethetik a sérülékeny rendszert, érzékeny információkhoz juthatnak hozzá és módosíthatnak bizonyos adatokat.

  1. Az Oracle Internet Directory komponens hibája kihasználható egyes adatok megszerzésére vagy módosítására.
  2. A Core RDBMS komponens hibája kihasználható hitelesített felhasználók által tetszőleges kód futtatására.
  3. Az XML DB komponens hibája kihasználható hitelesített felhasználók által egyes adatok megszerzésére vagy módosítására.
  4. Az XML DB komponens egy másik hibája kihasználható hitelesített felhasználók által egyes adatok megszerzésére.
  5. A “Data Capture” komponens “DBMS_CDC_PUBLISH PL/SQL” csomagjána található “DROP_CHANGE_SOURCE” eljárásnak átadott bemenet nincs megfelelően megtisztítva mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.

    A sebeezhetősség sikeres kihasználása SQl parancsok futtatását teszi lehetővé a SYS felhasználó jogosultságával, de ehhez hitelesített hozzáférés mellet az “EXECUTE” jogosultság megléte szükésges a “SYS.DBMS_CDC_PUBLISH” csomagra.
  6. Az Audit komponens hibája kihasználható hitelesített felhasználók által egyes adatok módosítására.

Megoldás

Telepítse a javítócsomagokat