Security Lab

Множественные уязвимости в Oracle Database

Дата публикации:20.10.2011
Дата изменения:21.10.2011
Всего просмотров:1250
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:5
CVSSv2 рейтинг: 7.2 (AV:A/AC:L/Au:M/C:C/I:C/A:C/E:U/RL:O/RC:C)
3.8 (AV:A/AC:M/Au:S/C:P/I:P/A:N/E:U/RL:O/RC:C)
1.7 (AV:L/AC:L/Au:S/C:N/I:P/A:N/E:U/RL:O/RC:C)
6.2 (AV:A/AC:L/Au:M/C:P/I:P/A:C/E:U/RL:O/RC:C)
6.2 (AV:A/AC:L/Au:M/C:P/I:P/A:C/E:U/RL:O/RC:C)
CVE ID: CVE-2011-2301
CVE-2011-2322
CVE-2011-3511
CVE-2011-3512
CVE-2011-3525
Вектор эксплуатации: Локальная сеть
Воздействие: Отказ в обслуживании
Раскрытие важных данных
Раскрытие системных данных
Неавторизованное изменение данных
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Oracle Database 10.x
Oracle Database 11.x
Уязвимые версии:

Oracle Database 11g Release 2 version 11.2.0.2.
Oracle Database 11g Release 1 version 11.1.0.7.
Oracle Database 10g Release 2 versions 10.2.0.3, 10.2.0.4, and 10.2.0.5.
Oracle Database 10g Release 1 version 10.1.0.5.

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю раскрыть важные данные на целевой системе.

1. Уязвимость существует из-за неизвестной ошибки в компоненте Application Express. Удаленный авторизированный пользователь может при наличии APEX привилегий выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за неизвестной ошибки в компоненте Core RDBMS. Удаленный авторизированный пользователь может раскрыть и изменить определенные данные. Успешная эксплуатация уязвимости требует создание сессии, процедуры и таблицы привилегий.

3. Уязвимость существует из-за неизвестной ошибки в компоненте Oracle Text. Локальный пользователь может выполнить определенные действия с повышенными привелегиями. Успешная эксплуатация данной уязвимости требует привилегии Execute on CTXSYS.DRVDISP.

4. Уязвимость существует из-за неизвестной ошибки в компоненте Database Vault. Авторизованный пользователь может изменить определенные данные и вызвать отказ в обслуживании. Успешная эксплуатация требует наличие привилегий Privileged Account.

5. Уязвимость существует из-за неизвестной ошибки в компоненте Database Vault. Авторизованный пользователь может изменить определенные данные и вызвать отказ в обслуживании. Успешная эксплуатация требует наличие привилегий SYSDBA.

URL производителя: http://www.oracle.com/database/

Решение: Установите обновления c сайта производителя.

Ссылки: Oracle Critical Patch Update Advisory - October 2011