| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine kritische Schwachstelle in Oracle Database bis 10g gefunden. Betroffen ist die Funktion DBMS_AQ_INV. Die Bearbeitung verursacht SQL Injection.
Die Verwundbarkeit wird als CVE-2001-0729 geführt. Ein Angriff ist aus der Distanz möglich. Es ist kein Exploit verfügbar.
Es wird empfohlen, einen Patch anzuwenden, um dieses Problem zu beheben.
Details
Oracle ist eine vor allem im professionellen Umfeld gern eingesetzte Datenbank-Lösung. Gleich mehrere Schwachstellen wurden bekanntgegeben. Eine davon betrifft das Paket DBMS_AQ_INV. Verschiedene Eingaben werden keiner umfassenden Überprüfung unterzogen, wodurch sich eine SQL-Injection initiieren lässt. Weitere Details oder ein Exploit sind nicht bekannt. Als Workaround wir empfohlen, den betroffenen Port mittels Firewalling zu schützen. Oracle selbst hat das Problem im CPU January 2006 (OPMN01) behoben. Unter anderem wird der Fehler auch in den Datenbanken von Tenable (10440), SecurityFocus (BID 22083†), Secunia (SA23794†), SecurityTracker (ID 1017522†) und Vulnerability Center (SBV-3361†) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-2839, VDB-2838, VDB-2841 und VDB-15608. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Für den Vulnerability Scanner Nessus wurde am 13.06.2000 ein Plugin mit der ID 10440 (Apache for Windows Multiple Forward Slash Directory Listing) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Web Servers zugeordnet und im Kontext r ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 86017 (Apache Win32 Web root Directory Listing Vulnerability) zur Prüfung der Schwachstelle an.
Wahrhaftig ist dies eine sehr ernst zu nehmende Sicherheitslücke. Werden Details zu dieser Attacke bekannt, ist es nur eine Frage der Zeit, bis entsprechende Angriffs-Tools und Exploits erhältlich sein werden. Dies heisst jedoch nicht, dass man das Einspielen der entsprechenden Bugfixes aufschieben sollte. Die von Oracle zur Verfügung gestellten Patches sollten unverzüglich eingesetzt werden, um das Risiko eines erfolgreichen Angriffs zu minimieren.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.oracle.com
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 5.1
VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: SQL InjectionCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 10440
Nessus Name: Apache for Windows Multiple Forward Slash Directory Listing
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: oracle.com
McAfee IPS: 🔍
McAfee IPS Version: 🔍
Timeline
13.06.2000 🔍30.10.2001 🔍
30.10.2001 🔍
07.01.2004 🔍
16.01.2007 🔍
17.01.2007 🔍
17.01.2007 🔍
17.01.2007 🔍
22.01.2007 🔍
04.10.2025 🔍
Quellen
Hersteller: oracle.comAdvisory: red-database-security.com
Person: Alexander Kornbrust
Firma: Red Database Security
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2001-0729 (🔍)
GCVE (CVE): GCVE-0-2001-0729
GCVE (VulDB): GCVE-100-2840
SecurityFocus: 22083 - Oracle January 2007 Security Update Multiple Vulnerabilities
Secunia: 23794 - Oracle Products Multiple Vulnerabilities, Highly Critical
SecurityTracker: 1017522
Vulnerability Center: 3361 - DoS in Apache 1.3.20 on Windows Servers via a URL with a Large Number of / (Slash) Characters, High
Siehe auch: 🔍
Eintrag
Erstellt: 22.01.2007 10:23Aktualisierung: 04.10.2025 17:36
Anpassungen: 22.01.2007 10:23 (80), 19.05.2019 08:20 (8), 04.10.2025 17:36 (17)
Komplett: 🔍
Cache ID: 216:74B:103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.