| Vigil@nce décrit les vulnérabilités informatiques qui affectent vos systèmes, et propose les solutions pour y remédier. |
|
 |
|
|
|
avis de vulnérabilité 9414
Oracle Database : élévation de privilèges via DBMS_JVM/DBMS_JAVA
Synthèse de la vulnérabilité
| Un attaquant, authentifié sur une base Oracle, peut employer des procédures de DBMS_JVM_EXP_PERMS et DBMS_JAVA, afin de faire exécuter des commandes avec les privilèges du système. |
Gravité : 2/4.
Date création : 08/02/2010.
|
Description de la vulnérabilité
Le paquetage DBMS_JVM_EXP_PERMS est utilisé lors des mises à jour Oracle. La procédure DBMS_JVM_EXP_PERMS.IMPORT_JVM_PERMS modifie les privilèges Java de l'utilisateur.
Le paquetage DBMS_JAVA permet de créer et manipuler des applications Java depuis SQL. La procédure DBMS_JAVA.SET_OUTPUT_TO_JAVA définit une méthode à appeler lorsqu'une application Java écrit sur System.out/err.
En combinant DBMS_JVM_EXP_PERMS.IMPORT_JVM_PERMS et DBMS_JAVA.SET_OUTPUT_TO_JAVA, un attaquant peut élever ses privilèges et exécuter une commande shell.
Un attaquant, authentifié sur une base Oracle, peut ainsi faire exécuter des commandes avec les privilèges du système. |
Bulletin Vigil@nce complet
Caractéristiques
Titre : Oracle Database : élévation de privilèges via DBMS_JVM/DBMS_JAVA.
Mots clés : DBMS_JAVA DBMS_JVM DBMS_JVM_EXP_PERMS Database ET_OUTPUT_TO_JAVA Java MPORT_JVM_PERMS Oracle SQL System privilèges élévation.
Références : BID-38115, VIGILANCE-VUL-9414.
|
Sources d'information
Solutions pour cette vulnérabilité
Service de veille sur les vulnérabilités informatiques
Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Cellule de veille technologique sur les vulnérabilités
|
