Повышение привилегий и отключение аудита в Oracle

Дата публикации:
05.05.2005
Всего просмотров:
2474
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Oracle Database 9i / 10g

Описание:
Уязвимость позволяет удаленному авторизованному пользователю повысить свои привилегии в СУБД и отключить Fine-Grained-Auditing для всех пользователей.

1. Уязвимость связана с тем, что Fine-Grained-Auditing не работает, когда пользователь SYS делает запрос SELECT.

2. После выполнения dbms_scheduler-job Oracle использует пользователя SYS в качестве SESSION_USER, что может позволить злоумышленнику повысить свои привилегии в VPD (Virtual Private Database) и OLS (Oracle Label Security).

URL производителей: www.oracle.com

Ссылки: Oracle Fine Grained Auditing Issue in Oracle 9i / 10g
Oracle 10g Exploit dbms_scheduler SESSION_USER issue

или введите имя

CAPTCHA