Security Lab

Повышение привилегий и отключение аудита в Oracle

Дата публикации:05.05.2005
Всего просмотров:2828
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: Oracle Database 9i / 10g

Описание:
Уязвимость позволяет удаленному авторизованному пользователю повысить свои привилегии в СУБД и отключить Fine-Grained-Auditing для всех пользователей.

1. Уязвимость связана с тем, что Fine-Grained-Auditing не работает, когда пользователь SYS делает запрос SELECT.

2. После выполнения dbms_scheduler-job Oracle использует пользователя SYS в качестве SESSION_USER, что может позволить злоумышленнику повысить свои привилегии в VPD (Virtual Private Database) и OLS (Oracle Label Security).

URL производителей: www.oracle.com

Ссылки: Oracle Fine Grained Auditing Issue in Oracle 9i / 10g
Oracle 10g Exploit dbms_scheduler SESSION_USER issue