VDB-47745 · CVE-2009-0992 · BID 34461

Oracle Database 11g 11.1.0.7 SQL Injection

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.9$0-$5k0.00

Es wurde eine Schwachstelle in Oracle Database 11g 11.1.0.7 (Database Software) entdeckt. Sie wurde als kritisch eingestuft. Es betrifft unbekannter Code. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-89 vorgenommen. Dies hat Einfluss auf Vertraulichkeit und Integrität. Die Zusammenfassung von CVE lautet:

Unspecified vulnerability in the Advanced Queuing component in Oracle Database 10.1.0.5, 10.2.0.4, and 11.1.0.7 allows remote authenticated users to affect confidentiality and integrity, related to DBMS_AQIN. NOTE: the previous information was obtained from the April 2009 CPU. Oracle has not commented on reliable researcher claims that this issue is SQL injection in the DEQ_EXEJOB procedure.

Die Schwachstelle wurde am 15.04.2009 durch Joshua J. Drake (iDefense) von Application Security, Inc. (Website) publiziert. Bereitgestellt wird das Advisory unter us-cert.gov. Die Identifikation der Schwachstelle wird seit dem 19.03.2009 mit CVE-2009-0992 vorgenommen. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1505 aus.

Ein öffentlicher Exploit wurde in Python entwickelt. Unter securityfocus.com wird der Exploit zur Verfügung gestellt. Er wird als proof-of-concept gehandelt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $5k-$25k. Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 56064 (Oracle Database Multiple Vulnerabilities (April 2009 CPU)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Databases zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 19463 (Oracle April 2009 Security Update Multiple Vulnerabilities) zur Prüfung der Schwachstelle an.

Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen.

Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (56064) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 3953, 3955, 47767 und 47766.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.4
VulDB Meta Temp Score: 4.9

VulDB Base Score: 5.4
VulDB Temp Score: 4.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: SQL Injection
CWE: CWE-89 / CWE-74 / CWE-707
ATT&CK: T1505

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Programmiersprache: 🔍
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 56064
Nessus Name: Oracle Database Multiple Vulnerabilities (April 2009 CPU)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

0-Day Time: 🔍

Timelineinfo

19.03.2009 🔍
09.04.2009 +21 Tage 🔍
14.04.2009 +5 Tage 🔍
15.04.2009 +1 Tage 🔍
15.04.2009 +0 Tage 🔍
15.04.2009 +0 Tage 🔍
17.03.2015 +2162 Tage 🔍
09.08.2021 +2337 Tage 🔍

Quelleninfo

Hersteller: oracle.com

Advisory: us-cert.gov
Person: Joshua J. Drake (iDefense)
Firma: Application Security, Inc.
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2009-0992 (🔍)
SecurityTracker: 1022052
SecurityFocus: 34461 - Oracle April 2009 Critical Patch Update Multiple Vulnerabilities
Secunia: 34693 - Oracle Products Multiple Vulnerabilities, Highly Critical

scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍

Eintraginfo

Erstellt: 17.03.2015 23:38
Aktualisierung: 09.08.2021 15:06
Anpassungen: 17.03.2015 23:38 (71), 07.12.2017 08:27 (3), 09.08.2021 15:06 (3)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!