Oracle Database bis 10.1.0.3.1 und Application Server bis 10.1.2 Spatial Komponente erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.0 | $0-$5k | 0.00 |
Zusammenfassung
In Oracle Database bis 10.1.0.3.1 wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Es ist betroffen eine unbekannte Funktion. Die Veränderung resultiert in SQL Injection. Die Identifikation der Schwachstelle findet als CVE-2005-0297 statt. Es ist möglich, den Angriff aus der Ferne durchzuführen. Es steht kein Exploit zur Verfügung. Es wird geraten, einen Patch zu installieren, um dieses Problem zu lösen.
Details
Oracle ist eine vor allem im professionellen Umfeld gern eingesetzte kommerzielle Datenbank-Lösung. Zeitgleich hat Oracle innerhalb des vierteljährlichen Critical Patch Updates 23 Sicherheitslücken in der Oracle Database und dem Application Server bekannt gegeben. Unter anderem ist ein Designfehler in der Spatial Komponente gegeben, worüber ein Angreifer in den Besitz sensitiver Informationen kommen, Daten manipulieren oder eine Denial of Service umsetzen kann. Um diesen Angriff erfolgreich auszunutzen, sind Ausführrechte für das Paket mdsys.md2 erforderlich. Anders als bisher beschreibt der Hersteller in seiner Meldung auch weitere Einzelheiten zu den Schwachstellen. Genaue technische Details oder ein Exploit zur Schwachstelle sind jedoch nicht bekannt. Oracle hat mit einem Patch für die betroffenen Komponenten reagiert. Dieser kann nur durch registrierte Benutzer auf der Oracle-Webseite bezogen werden. Unter anderem wird der Fehler auch in den Datenbanken von OSVDB (15439†) und Secunia (SA13862†) dokumentiert. Weitere Informationen werden unter nextgenss.com bereitgestellt. Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-1137, VDB-1134, VDB-1132 und VDB-1133. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Eine wirklich hohe Verbreitung geniessen Oracle-Produkte im professionellen Umfeld. Umso kritischer erscheint deshalb die Vielzahl der zeitgleich bekannt gewordenen Schwachstellen. In gewisser Weise wird dies durchaus am Image des Herstellers kratzen können. Und trotzdem gilt Oracle mit seiner Datenbank-Lösung als einer der Big Player im Business. Administratoren entsprechender Systeme sind angehalten, sich dringendst um die Gegenmassnahmen zu kümmern, denn das Interesse der Angreifer wird wegen der vielen Fehler kurzzeitig ein absolutes Hoch erreichen.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.oracle.com
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 7.0
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: SQL InjectionCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: metalink.oracle.com
Snort ID: 2611
Snort Message: SERVER-ORACLE LINK metadata buffer overflow attempt
Snort Klasse: 🔍
Timeline
25.12.2004 🔍18.01.2005 🔍
18.01.2005 🔍
19.01.2005 🔍
20.01.2005 🔍
10.02.2005 🔍
30.06.2019 🔍
Quellen
Hersteller: oracle.comAdvisory: otn.oracle.com
Person: Pete Finnigan, Alexander Kornbrust, Stephen Kost u
Status: Nicht definiert
CVE: CVE-2005-0297 (🔍)
GCVE (CVE): GCVE-0-2005-0297
GCVE (VulDB): GCVE-100-1131
Secunia: 13862 - Oracle Products 24 Vulnerabilities, Moderately Critical
OSVDB: 15439 - Oracle Database Server EXTPROC command execution
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 20.01.2005 11:18Aktualisierung: 30.06.2019 23:14
Anpassungen: 20.01.2005 11:18 (65), 30.06.2019 23:14 (4)
Komplett: 🔍
Cache ID: 216:417:103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.