English

◀◁ 뒤로 취약점ID 25049 위험도 40 포트 1521, ... 프로토콜 TCP 분류 DB 상세설명 Oracle Database 서버의 버전 정보에 따르면 해당 서버에는 다중의 취약점들(2)이 존재한다. Oracle Database Server, Oracle Application Server, Oracle Collaboration Suite, Oracle E-Business 그리고 Application들, Oracle Enterprise Manager Grid Control, 그리고 Oracle PeopleSoft Application들은 다중의 불명확한 취약점들에 취약하다. 몇몇 취약점들은 인증을 필요로 하지 않는다. 알려진 바에 의하면 낮은 등급의 권한을 가진 데이터베이스 사용자가 DBA 권한을 가지고 함수들을 실행할 수 있다. 어떤 함수를 생성하거나 수정할 수 있는 권한을 가진 사용자들은 취약한 프로시져(Procedure)에 사용자 정의 함수를 추가할 수 있으며 이를 통해 DBA 권한을 가지고 임의의 SQL 문장들을 실행시킬 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 Oracle 데이터베이스 서버의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://www.oracle.com/technetwork/topics/security/cpuapr2005-132777.pdf http://www.argeniss.com/research/OraALTER_MANUALLOG_CHANGE_SOURCEWorkaround.sql http://www.securityfocus.com/archive/1/395699 http://www.securityfocus.com/archive/1/396135 http://www.appsecinc.com/resources/alerts/oracle/2005-05.html * 영향을 받는 플랫폼: Oracle Database Server Any version Oracle Application Server Any version Oracle Collaboration Suite Release 2 Oracle E-Business and Applications 11.0, 11i Oracle Enterprise Manager Grid Control 10g Oracle PeopleSoft Applications Microsoft Windows Any version Linux Any version Unix Any version 해결책 Oracle 사는 이 문제들을 해결할 수 있는 Critical Patch Update를 내 놓았다. 적절한 패치 획득 및 적용에 관한 정보는 다음 2005년 4월 Oracle Critical Patch Update에서 찾을 수 있다: http://www.oracle.com/technetwork/topics/security/cpuapr2005-132777.pdf 관련 URL CVE-2003-0460,CVE-2003-0542,CVE-2003-0851,CVE-2003-0987,CVE-2004-0079,CVE-2004-0081,CVE-2004-0174,CVE-2004-0488,CVE-2004-0492 (CVE) 관련 URL 13145,13144,13139,13238,13236,13235,13234 (SecurityFocus) 관련 URL (ISS)