В пакете Oracle E-Business обнаружена уязвимость, позволяющая скомпрометировать базы данных

Исследователь Datacom TSS Дэвид Литчфилд (David Litchfield) обнаружил серьезную уязвимость в пакете Oracle E-Business, которая позволяет удаленному злоумышленнику полностью скомпрометировать сервер базы данных. Об этом сообщает издание The Register.

По словам Литчфилда, уязвимость существует из-за того, что роли PUBLIC были присвоены привилегии INDEX в таблице DUAL, владельцем которой является SYS. Это значит, что любой пользователь может создать индекс в таблице DUAL и, если злоумышленник создаст индекс-функцию, она будет выполняться с правами суперпользователя .

Литчфилд обнаружил уязвимость при проверках безопасности на клиентских системах. Изначально он подумал, что это оставленный злоумышленниками бэкдор.

Oracle подтвердила наличие уязвимости в продукте. Сегодня, 20 января, компания должна выпустить бюллетень безопасности, который, в том числе, исправит эту брешь. В целом будет устранено 167 уязвимостей.