Metin Balcı
Öğrenci
- Katılım
- 10 Ocak 2010
- Mesajlar
- 56
- Reaksiyon puanı
- 3
- Puanları
- 0
Kaynak:Sans@Risk
Seviye: Yüksek
Bildiri Sürümü:1.0
Açıklanma Zamanı:12.02.2010
Yenilenme Zamanı:-
Etkilenen Sistemler:Oracle Oracle11g Standard Edition 11.1 6
Oracle Oracle11g Standard Edition 11.1 6
Oracle Oracle11g Standard Edition 11.1 .7
Oracle Oracle11g Standard Edition 11.2.0.1.0
Oracle Oracle11g Enterprise Edition 11.1 7
Oracle Oracle11g Enterprise Edition 11.1 6
Oracle Oracle11g Enterprise Edition 11.2.0.1.0
CVE:-
BID:38115
Referanslar
:http://www.databasesecurity.com/HackingAurora.pdf
http://en.wikipedia.org/wiki/Oracle_Database
http://www.oracle.com/index.html
http://www.securityfocus.com/bid/38115
Yazar(lar):- Açıklama:DBMS_JVM_EXP_PERMS paketi JAVA paketlerini dışa aktarma yetkilerinin yönetimi için kullanılmaktadır ve PUBLIC kullanıcı tarafından çalıştırılabilmektedir. Paket içinde bulunan IMPORT_JVM_PERMS yordamı kullanılarak, saldırgan kendi politika tablosunu oluşturabilmektedir. İkinci açıklık ise, DBMS_JAVA paketinde bulunan SET_OUTPUT_TO_JAVA ve SET_OUTPUT_TO_SQL yordamlarında tespit edilmiş bir SQL enjeksiyonu açıklığıdır. Başarılı bir saldırı sonucu, saldırgan DBA yetkilerine sahip olabilir. Etki:Yetki Artırımı Çözüm:Halen herhangi bir yama yayınlanmamıştır. İlgili paketlerin PUBLIC kullanıcısı tarafından çalıştırılmaması sağlanmalıdır. SQL enjeksiyonu içeren yordamlarda yada çalıştırma öncesi gönderilen parametre değerlerinde gerekli girdi kontrolü geçici olarak eklenebilir
Seviye: Yüksek
Bildiri Sürümü:1.0
Açıklanma Zamanı:12.02.2010
Yenilenme Zamanı:-
Etkilenen Sistemler:Oracle Oracle11g Standard Edition 11.1 6
Oracle Oracle11g Standard Edition 11.1 6
Oracle Oracle11g Standard Edition 11.1 .7
Oracle Oracle11g Standard Edition 11.2.0.1.0
Oracle Oracle11g Enterprise Edition 11.1 7
Oracle Oracle11g Enterprise Edition 11.1 6
Oracle Oracle11g Enterprise Edition 11.2.0.1.0
CVE:-
BID:38115
Referanslar
:http://www.databasesecurity.com/HackingAurora.pdf
http://en.wikipedia.org/wiki/Oracle_Database
http://www.oracle.com/index.html
http://www.securityfocus.com/bid/38115
Yazar(lar):- Açıklama:DBMS_JVM_EXP_PERMS paketi JAVA paketlerini dışa aktarma yetkilerinin yönetimi için kullanılmaktadır ve PUBLIC kullanıcı tarafından çalıştırılabilmektedir. Paket içinde bulunan IMPORT_JVM_PERMS yordamı kullanılarak, saldırgan kendi politika tablosunu oluşturabilmektedir. İkinci açıklık ise, DBMS_JAVA paketinde bulunan SET_OUTPUT_TO_JAVA ve SET_OUTPUT_TO_SQL yordamlarında tespit edilmiş bir SQL enjeksiyonu açıklığıdır. Başarılı bir saldırı sonucu, saldırgan DBA yetkilerine sahip olabilir. Etki:Yetki Artırımı Çözüm:Halen herhangi bir yama yayınlanmamıştır. İlgili paketlerin PUBLIC kullanıcısı tarafından çalıştırılmaması sağlanmalıdır. SQL enjeksiyonu içeren yordamlarda yada çalıştırma öncesi gönderilen parametre değerlerinde gerekli girdi kontrolü geçici olarak eklenebilir
