3 уязвимости в Oracle Label
| Дата публикации: | 25.10.2001 |
| Всего просмотров: | 1137 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Три новых бреши в защите были обнаружены в самых последних версиях сервера базы данных Oracle. Ниже - подробности каждой уязвимости. 1. Механизм Защиты Oracle Label содержит недостаток, который позволяет пользователю получать более высокий уровень доступа к данным. Исправление было выпущено для Oracle 8.1.7. Patchset 2 для Oracle 9.0.1 исправляет эту проблему для Oracle9i. Для дополнительной информации: http://otn.oracle.com/deploy/security/pdf/OLS817alert.pdf 2. Уязвимость перезаписи файлов в ORACLE Эта уязвимость затрагивает все версии Oracle, выполняющегося на UNIX. Может эксплуатироваться SETUID бит на исполняемом файле " oracle ". Удаление SETUID бита может вызывать несколько проблем с функциями Oracle. Есть несколько возможностей для решения этой проблемы. Лучшей рекомендацией является ограничения доступа к каталогу ORACLE_HOME только администратору базы данных. Это может быть сделано, изменяя разрешения на каталоге ORACLE_HOME к 770. Если обычные пользователи должны выполнять SQL*PLUS, то им нельзя позволить делать это на сервере Oracle, вместо этого надо выполнять любые команды, использующие клиент-серверную модель. Для дополнительной информации: http://otn.oracle.com/deploy/security/pdf/oracle_race.pdf 3. Уязвимость Защиты Oracle Trace Collection Эта уязвимость затрагивает все версии Oracle, выполняющегося на UNIX. Может эксплуатироваться SETUID бит на исполняемом файле "otrcrep". SETUID бит должен быть удален на всех файлах Oracle trace, включая: otrccol, otrccref, otrcfmt, otrccrep. Для дополнительной информации: http://otn.oracle.com/deploy/security/pdf/otrcrep.pdf |