Durch eine Schwachstelle in Oracles Sicherheitsystem 'Oracle Label Security' wird es möglich, zusätzliche Privilegien beim Datenzugriff auf Oracle Datenbanken zu erlangen.

Betroffene Systeme

• Sun Solaris 2.6 mit Oracle Label Security 8.1.7
• Sun Solaris 2.7 mit Oracle Label Security 8.1.7
• Sun Solaris 2.8 mit Oracle Label Security 8.1.7

Einfallstor
Datenbank-Account

Auswirkung
unautorisierte Privilegienerweiterung

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Oracle Label Security ist ein Zusatzprogramm zu Oracle-Datenbanken, welches bei der Erstellung und Anwendung von Sicherheitsrichtlinien helfen soll. Durch eine Verwundbarkeit in diesem Programm ist es möglich, auf eingeschränkte Daten Zugriff zu erlangen, sofern auf dem Datenbanksystem die Überwachungs-, die SET_LABEL oder die SQL-Predicate-Funktionalität verwendet wird.

Gegenmaßnahmen
Oracle stellt auf http://metalink.oracle.com Patch 2022108 zur Verfügung, welcher dieses Problem für Oracle Label Security 8.1.7 behebt.

Weitere Information zu diesem Thema

• Advisory von Oracle

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/