Oracle Database Server bis 8.1.5 Intelligent Agent nmiconf.tcl ORACLE_HOME Local Privilege Escalation
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.3 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle, die als problematisch eingestuft wurde, wurde in Oracle Database Server bis 8.1.5 gefunden. Dies betrifft einen unbekannten Teil der Datei nmiconf.tcl der Komponente Intelligent Agent. Durch Beeinflussen des Arguments ORACLE_HOME durch Environment Variable kann eine Local Privilege Escalation-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird unter CVE-1999-0888 geführt. Der Angriff erfordert einen lokalen Zugriff. Desweiteren ist ein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
In Oracle Database Server bis 8.1.5 (Database Software) wurde eine problematische Schwachstelle entdeckt. Hierbei betrifft es ein unbekannter Ablauf der Datei nmiconf.tcl der Komponente Intelligent Agent. Mittels Manipulieren des Arguments ORACLE_HOME durch Environment Variable kann eine Local Privilege Escalation-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
dbsnmp in Oracle Intelligent Agent allows local users to gain privileges by setting the ORACLE_HOME environmental variable, which dbsnmp uses to find the nmiconf.tcl script.Die Schwachstelle wurde am 16.08.1999 durch Brock Tellier (Website) öffentlich gemacht. Das Advisory findet sich auf securityfocus.com. Die Verwundbarkeit wird als CVE-1999-0888 geführt. Sie ist leicht ausnutzbar. Der Angriff muss lokal angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.
Ein öffentlicher Exploit wurde in Shell Script programmiert. Der Exploit wird unter securityfocus.com zur Verfügung gestellt. Er wird als proof-of-concept gehandelt.
Ein Aktualisieren auf die Version 8.1.6 vermag dieses Problem zu lösen.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (3140), Exploit-DB (19460), SecurityFocus (BID 585†) und Vulnerability Center (SBV-30987†) dokumentiert. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.oracle.com
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.9VulDB Meta Temp Score: 5.3
VulDB Base Score: 5.9
VulDB Temp Score: 5.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Local Privilege EscalationCWE: Unbekannt
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Programmiersprache: 🔍
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Database Server 8.1.6
Timeline
16.08.1999 🔍16.08.1999 🔍
16.08.1999 🔍
16.08.1999 🔍
11.04.2011 🔍
21.06.2014 🔍
03.12.2024 🔍
Quellen
Hersteller: oracle.comAdvisory: securityfocus.com⛔
Person: Brock Tellier
Status: Bestätigt
CVE: CVE-1999-0888 (🔍)
GCVE (CVE): GCVE-0-1999-0888
GCVE (VulDB): GCVE-100-14779
X-Force: 3140
SecurityFocus: 585 - Oracle Intelligent Agent Vulnerability
Vulnerability Center: 30987 - Oracle Intelligent Agent Local Privilege Escalation Vulnerability via the ORACLE_HOME Variable, Medium
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 21.06.2014 19:23Aktualisierung: 03.12.2024 10:53
Anpassungen: 21.06.2014 19:23 (59), 07.04.2017 17:04 (7), 03.12.2024 10:53 (19)
Komplett: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.