Oracle Database bis 10.1.0.3.1 und Application Server bis 10.1.2 Diagnostic Komponente erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.0 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in Oracle Database bis 10.1.0.3.1 gefunden. Sie wurde als problematisch eingestuft. Es betrifft eine unbekannte Funktion. Dank der Manipulation mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2005-0297 vorgenommen. Der Angriff kann remote ausgeführt werden. Es gibt keinen verfügbaren Exploit. Es ist ratsam, einen Patch zu implementieren, um dieses Problem zu beheben.
Details
Oracle ist eine vor allem im professionellen Umfeld gern eingesetzte kommerzielle Datenbank-Lösung. Zeitgleich hat Oracle innerhalb des vierteljährlichen Critical Patch Updates 23 Sicherheitslücken in der Oracle Database und dem Application Server bekannt gegeben. Unter anderem ist ein Designfehler in der Diagnostic Komponente gegeben, worüber ein Angreifer in den Besitz sensitiver Informationen kommen, Daten manipulieren oder eine Denial of Service umsetzen kann. Anders als bisher beschreibt der Hersteller in seiner Meldung auch weitere Einzelheiten zu den Schwachstellen. Genaue technische Details oder ein Exploit zur Schwachstelle sind jedoch nicht bekannt. Oracle hat mit einem Patch für die betroffenen Komponenten reagiert. Dieser kann nur durch registrierte Benutzer auf der Oracle-Webseite bezogen werden. Unter anderem wird der Fehler auch in den Datenbanken von OSVDB (15439†) und Secunia (SA13862†) dokumentiert. Unter nextgenss.com werden zusätzliche Informationen bereitgestellt. Die Schwachstellen VDB-1137, VDB-1134, VDB-1131 und VDB-1132 sind ähnlich. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Eine wirklich hohe Verbreitung geniessen Oracle-Produkte im professionellen Umfeld. Umso kritischer erscheint deshalb die Vielzahl der zeitgleich bekannt gewordenen Schwachstellen. In gewisser Weise wird dies durchaus am Image des Herstellers kratzen können. Und trotzdem gilt Oracle mit seiner Datenbank-Lösung als einer der Big Player im Business. Administratoren entsprechender Systeme sind angehalten, sich dringendst um die Gegenmassnahmen zu kümmern, denn das Interesse der Angreifer wird wegen der vielen Fehler kurzzeitig ein absolutes Hoch erreichen.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.oracle.com
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 7.0
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: SQL InjectionCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: metalink.oracle.com
Snort ID: 2611
Snort Message: SERVER-ORACLE LINK metadata buffer overflow attempt
Snort Klasse: 🔍
Timeline
25.12.2004 🔍18.01.2005 🔍
18.01.2005 🔍
19.01.2005 🔍
20.01.2005 🔍
10.02.2005 🔍
30.06.2019 🔍
Quellen
Hersteller: oracle.comAdvisory: otn.oracle.com
Person: Pete Finnigan, Alexander Kornbrust, Stephen Kost u
Status: Nicht definiert
CVE: CVE-2005-0297 (🔍)
GCVE (CVE): GCVE-0-2005-0297
GCVE (VulDB): GCVE-100-1133
Secunia: 13862 - Oracle Products 24 Vulnerabilities, Moderately Critical
OSVDB: 15439 - Oracle Database Server EXTPROC command execution
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 20.01.2005 11:18Aktualisierung: 30.06.2019 22:51
Anpassungen: 20.01.2005 11:18 (65), 30.06.2019 22:51 (4)
Komplett: 🔍
Cache ID: 216:97A:103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.