Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-532

[Sun/Oracle] Schwachstelle in Oracle Label Security für Sun Solaris
(2001-10-25 15:51:02+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/10/msg00203.html

Durch eine Schwachstelle in Oracles Sicherheitsystem 'Oracle Label Security' wird es möglich, zusätzliche Privilegien beim Datenzugriff auf Oracle Datenbanken zu erlangen.

Betroffene Systeme

  • Sun Solaris 2.6 mit Oracle Label Security 8.1.7
  • Sun Solaris 2.7 mit Oracle Label Security 8.1.7
  • Sun Solaris 2.8 mit Oracle Label Security 8.1.7
Oracle Label Security wird in der Regel im Oracle Enterprise Edition 8.1.7 CD - Paket mitgeliefert.

Einfallstor
Datenbank-Account

Auswirkung
unautorisierte Privilegienerweiterung

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Oracle Label Security ist ein Zusatzprogramm zu Oracle-Datenbanken, welches bei der Erstellung und Anwendung von Sicherheitsrichtlinien helfen soll. Durch eine Verwundbarkeit in diesem Programm ist es möglich, auf eingeschränkte Daten Zugriff zu erlangen, sofern auf dem Datenbanksystem die Überwachungs-, die SET_LABEL oder die SQL-Predicate-Funktionalität verwendet wird.

Gegenmaßnahmen
Oracle stellt auf http://metalink.oracle.com Patch 2022108 zur Verfügung, welcher dieses Problem für Oracle Label Security 8.1.7 behebt.

Weitere Information zu diesem Thema

(ig)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.