В пакете Oracle E-Business обнаружена уязвимость, позволяющая скомпрометировать базы данных

В пакете Oracle E-Business обнаружена уязвимость, позволяющая скомпрометировать базы данных

Злоумышленник может получить права суперпользователя и выполнить произвольные действия с базой данных.

Исследователь Datacom TSS Дэвид Литчфилд (David Litchfield) обнаружил серьезную уязвимость в пакете Oracle E-Business, которая позволяет удаленному злоумышленнику полностью скомпрометировать сервер базы данных. Об этом сообщает издание The Register.

По словам Литчфилда, уязвимость существует из-за того, что роли PUBLIC были присвоены привилегии INDEX в таблице DUAL, владельцем которой является SYS. Это значит, что любой пользователь может создать индекс в таблице DUAL и, если злоумышленник создаст индекс-функцию, она будет выполняться с правами суперпользователя .

Литчфилд обнаружил уязвимость при проверках безопасности на клиентских системах. Изначально он подумал, что это оставленный злоумышленниками бэкдор.

Oracle подтвердила наличие уязвимости в продукте. Сегодня, 20 января, компания должна выпустить бюллетень безопасности, который, в том числе, исправит эту брешь. В целом будет устранено 167 уязвимостей.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!