Oracle Database Vault权限提升漏洞

2008-11-21T00:00:00
ID SSV:4486
Type seebug
Reporter Root
Modified 2008-11-21T00:00:00

Description

BUGTRAQ ID: 32393

Oracle Database Vault是业界最先进的数据库安全产品,可保护和限制对敏感数据及应用的访问。

Database Vault没有正确地限制从操作系统端对数据库的访问,任何以SYSDBA权限登录的UNIX帐号都可以使用ptrace(2)绕过预期的安全限制,非授权访问敏感数据。

Oracle Database Vault 10.2.0.3 临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

  • 创建的DBA的UNIX帐号为OSDBA组成员,oracle SUID二进制程序和共享内存对OSDBA组仅有读权限。

厂商补丁:

Oracle

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

<a href=http://www.oracle.com target=_blank>http://www.oracle.com</a>

                                        
                                            
                                                http://www.sebug.net/exploit/5220/