Vulnerability ID 4002

Oracle Database unbekannte Schwachstelle

Oracle
CVSSv3 Temp ScoreAktueller Exploitpreis (≈)
5.1$0-$1k

Oracle Corporation ist der weltweit drittgrößte Softwarehersteller[1] mit Hauptsitz in Redwood Shores (Silicon Valley, Kalifornien). Bekanntestes und erfolgreichstes Produkt des Unternehmens ist das Datenbankmanagementsystem Oracle Database, welches üblicherweise mit dem Namen Oracle in Verbindung gebracht wird. In einem kumulativen Softwareupdate fixt Oracle eine Vielzahl von Schwachstellen, die seit längerer Zeit offen waren und teilweise kritische Sicherheitslücken darstellten. The vulnerability is also documented in the databases at SecurityFocus (BID 35671), X-Force (58883), Secunia (SA38921), SecurityTracker (ID 1022661) and Vulnerability Center (SBV-26008). The entries 49324 are pretty similar.

Für den Vulnerability Scanner Nessus wurde am 12.07.2013 ein Plugin mit der ID 67905 (Oracle Linux 5 : java-1.6.0-openjdk (ELSA-2009-1201)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Oracle Linux Local Security Checks zugeordnet, im Kontext local ausgeführt und auf den Port 0 angewendet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 195054 (Microsoft .NET Framework Tampering Vulnerability (MS10-041)) zur Prüfung der Schwachstelle an.

Oracles Praxis, Schwachstellen nur in grossen Patchpaketen zu schliessen, hat schon so oft für rote Köpfe gesucht. Auch in diesem Fall wird das vorliegende Patchpaket sicherlich nur in begrentem Rahmen mit offenen Armen empfangen werden. Dennoch sei Oracle Administratoren ans Herz gelegt, die entsprechenden Patches zeitnah zur Einspielung zu bringen.

CVSSv3

Base Score: 5.3 [?]
Temp Score: 5.1 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N/E:X/RL:O/RC:X [?]
Zuverlässigkeit: High

CVSSv2

Base Score: 5.0 (CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N) [?]
Temp Score: 4.4 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: High

AVACAuCIA
LHMNNN
AMSPPP
NLNCCC
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
LocalHighMultipleNoneNoneNone
AdjacentMediumSinglePartialPartialPartial
NetworkLowNoneCompleteCompleteComplete

CPE

Exploiting

Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $2k-$5k (0-day) / $0-$1k (Heute)

0-Day$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k
Heute$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k


Nessus ID: 67905
Nessus Name: Oracle Linux 5 : java-1.6.0-openjdk (ELSA-2009-1201)
Nessus File: centos_RHSA-2009-1201.nasl
Nessus Family: Oracle Linux Local Security Checks
Nessus Context: local
Nessus Port: 0
OpenVAS ID: 64561
OpenVAS Name: Debian Security Advisory DSA 1849-1 (xml-security-c)
OpenVAS File: deb_1849_1.nasl
OpenVAS Family: Debian Local Security Checks
Qualys ID: 195054
Qualys Name: Microsoft .NET Framework Tampering Vulnerability (MS10-041)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 18 Tage seit gemeldet
Exposure Time: 18 Tage seit bekannt

Patch: oracle.com
TippingPoint: 9816
PaloAlto IPS: 33203

Fortigate IPS: 23334

Timeline

20.01.2009 CVE zugewiesen
14.07.2009 +175 Tage NVD veröffentlicht
15.07.2009 +1 Tage Advisory veröffentlicht
20.07.2009 +5 Tage VulDB Eintrag erstellt
02.08.2009 +13 Tage Gegenmassnahme veröffentlicht
08.06.2010 +310 Tage VulnerabilityCenter Eintrag zugewiesen
09.06.2010 +1 Tage VulnerabilityCenter Eintrag erstellt
12.07.2013 +1129 Tage Nessus Plugin veröffentlicht
18.06.2015 +706 Tage VulnerabilityCenter Eintrag aktualisiert
08.07.2015 +20 Tage VulDB Eintrag aktualisiert

Quellen

Advisory: oracle.com
Firma: Oracle
Bestätigung: issues.apache.org

CVE: CVE-2009-0217 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityFocus: 35671
Secunia: 38921 - SUSE update for OpenOffice_org, Highly Critical
X-Force: 58883
SecurityTracker: 1022661
Vulnerability Center: 26008 - [cpujul2009-091332] Oracle Application Server and BEA Product Suite W3C XML Signature Syntax Remote Vulnerability, Medium
OSVDB: 55895
Vupen: ADV-2010-0635

Siehe auch: 49324

Eintrag

Erstellt: 20.07.2009
Aktualisierung: 08.07.2015
Eintrag: 94.4% komplett