В пакете Oracle E-Business обнаружена уязвимость, позволяющая скомпрометировать базы данных

image

Теги: Oracle, уязвимость, брешь

Злоумышленник может получить права суперпользователя и выполнить произвольные действия с базой данных.

Исследователь Datacom TSS Дэвид Литчфилд (David Litchfield) обнаружил серьезную уязвимость в пакете Oracle E-Business, которая позволяет удаленному злоумышленнику полностью скомпрометировать сервер базы данных. Об этом сообщает издание The Register.

По словам Литчфилда, уязвимость существует из-за того, что роли PUBLIC были присвоены привилегии INDEX в таблице DUAL, владельцем которой является SYS. Это значит, что любой пользователь может создать индекс в таблице DUAL и, если злоумышленник создаст индекс-функцию, она будет выполняться с правами суперпользователя .

Литчфилд обнаружил уязвимость при проверках безопасности на клиентских системах. Изначально он подумал, что это оставленный злоумышленниками бэкдор.

Oracle подтвердила наличие уязвимости в продукте. Сегодня, 20 января, компания должна выпустить бюллетень безопасности, который, в том числе, исправит эту брешь. В целом будет устранено 167 уязвимостей.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus