Три новых бреши в защите были обнаружены в самых последних версиях сервера базы данных Oracle. Ниже - подробности каждой уязвимости.

1. Механизм Защиты Oracle Label содержит недостаток, который позволяет пользователю получать более высокий уровень доступа к данным. Исправление было выпущено для Oracle 8.1.7. Patchset 2 для Oracle 9.0.1 исправляет эту проблему для Oracle9i. 

Для дополнительной информации:
http://otn.oracle.com/deploy/security/pdf/OLS817alert.pdf

2. Уязвимость перезаписи файлов в ORACLE. Эта уязвимость затрагивает все версии Oracle, выполняющегося на UNIX.
Может эксплуатироваться SETUID бит на исполняемом файле " oracle ".
Удаление SETUID бита может вызывать несколько проблем с функциями Oracle. 

Есть несколько возможностей для решения этой проблемы. Лучшей рекомендацией является ограничения доступа к каталогу ORACLE_HOME только администратору базы данных. Это может быть сделано, изменяя разрешения на каталоге ORACLE_HOME к 770. Если обычные пользователи должны выполнять SQL*PLUS, то им нельзя позволить делать это на сервере Oracle, вместо этого надо выполнять любые команды, использующие клиент-серверную модель. 

Для дополнительной информации:
http://otn.oracle.com/deploy/security/pdf/oracle_race.pdf

3. Уязвимость Защиты Oracle Trace Collection. Эта уязвимость затрагивает все версии Oracle, выполняющегося на UNIX.
Может эксплуатироваться SETUID бит на исполняемом файле "otrcrep".
SETUID бит должен быть удален на всех файлах Oracle trace, включая: otrccol, otrccref, otrcfmt, otrccrep. 

Для дополнительной информации:
http://otn.oracle.com/deploy/security/pdf/otrcrep.pdf

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии