Множественные уязвимости в Oracle Database

Дата публикации:
20.10.2011
Дата изменения:
21.10.2011
Всего просмотров:
886
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
5
CVSSv2 рейтинг:
(AV:A/AC:L/Au:M/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:7.2/Temporal:5.3
(AV:A/AC:M/Au:S/C:P/I:P/A:N/E:U/RL:O/RC:C) = Base:3.8/Temporal:2.8
(AV:L/AC:L/Au:S/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:1.7/Temporal:1.3
(AV:A/AC:L/Au:M/C:P/I:P/A:C/E:U/RL:O/RC:C) = Base:6.2/Temporal:4.6
(AV:A/AC:L/Au:M/C:P/I:P/A:C/E:U/RL:O/RC:C) = Base:6.2/Temporal:4.6
CVE ID:
CVE-2011-2301
CVE-2011-2322
CVE-2011-3511
CVE-2011-3512
CVE-2011-3525
Вектор эксплуатации:
Локальная сеть
Воздействие:
Отказ в обслуживании
Раскрытие важных данных
Раскрытие системных данных
Неавторизованное изменение данных
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Oracle Database 10.x
Oracle Database 11.x
Уязвимые версии:

Oracle Database 11g Release 2 version 11.2.0.2.
Oracle Database 11g Release 1 version 11.1.0.7.
Oracle Database 10g Release 2 versions 10.2.0.3, 10.2.0.4, and 10.2.0.5.
Oracle Database 10g Release 1 version 10.1.0.5.

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю раскрыть важные данные на целевой системе.

1. Уязвимость существует из-за неизвестной ошибки в компоненте Application Express. Удаленный авторизированный пользователь может при наличии APEX привилегий выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за неизвестной ошибки в компоненте Core RDBMS. Удаленный авторизированный пользователь может раскрыть и изменить определенные данные. Успешная эксплуатация уязвимости требует создание сессии, процедуры и таблицы привилегий.

3. Уязвимость существует из-за неизвестной ошибки в компоненте Oracle Text. Локальный пользователь может выполнить определенные действия с повышенными привелегиями. Успешная эксплуатация данной уязвимости требует привилегии Execute on CTXSYS.DRVDISP.

4. Уязвимость существует из-за неизвестной ошибки в компоненте Database Vault. Авторизованный пользователь может изменить определенные данные и вызвать отказ в обслуживании. Успешная эксплуатация требует наличие привилегий Privileged Account.

5. Уязвимость существует из-за неизвестной ошибки в компоненте Database Vault. Авторизованный пользователь может изменить определенные данные и вызвать отказ в обслуживании. Успешная эксплуатация требует наличие привилегий SYSDBA.

URL производителя: http://www.oracle.com/database/

Решение: Установите обновления c сайта производителя.

Ссылки: Oracle Critical Patch Update Advisory - October 2011

или введите имя

CAPTCHA