Oracle Database Server 9.2.0.8 erweiterte Rechte

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
6.0$0-$5k0.00

Zusammenfassunginfo

In Oracle Database Server 9.2.0.8 wurde eine kritische Schwachstelle ausgemacht. Das betrifft eine unbekannte Funktionalität. Durch das Manipulieren mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird als CVE-2007-3855 geführt. Der Angriff kann über das Netzwerk angegangen werden. Ausserdem ist ein Exploit verfügbar.

Detailsinfo

Es wurde eine kritische Schwachstelle in Oracle Database Server 9.2.0.8 (Database Software) entdeckt. Es betrifft eine unbekannte Funktion. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Privilege Escalation-Schwachstelle ausgenutzt werden. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

Multiple unspecified vulnerabilities in Oracle Database 9.0.1.5+, 9.2.0.8, 9.2.0.8DV, 10.1.0.5, and 10.2.0.3 allows remote authenticated users to have an unknown impact via (1) SYS.DBMS_DRS in the DataGuard component (DB03), (2) SYS.DBMS_STANDARD in the PL/SQL component (DB10), (3) MDSYS.RTREE_IDX in the Spatial component (DB16), and (4) SQL Compiler (DB17). NOTE: a reliable researcher claims that DB17 is for using Views to perform unauthorized insert, update, or delete actions.

Die Schwachstelle wurde am 18.07.2007 (Website) publik gemacht. Auf us-cert.gov kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 18.07.2007 unter CVE-2007-3855 geführt. Die Ausnutzbarkeit ist als leicht bekannt. Der Angriff kann über das Netzwerk erfolgen. Das Angehen einer einfachen Authentisierung ist erforderlich, um eine Ausnutzung anzugehen. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt.

Unter exploit-db.com wird der Exploit zum Download angeboten. Er wird als proof-of-concept gehandelt. Als 0-Day erzielte der Exploit wohl etwa $5k-$25k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 56057 (Oracle Database Multiple Vulnerabilities (July 2007 CPU)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Databases zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 19219 (Oracle July 2007 Security Update Multiple Vulnerabilities) zur Prüfung der Schwachstelle an.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an. Weiterführend können Angriffe durch TippingPoint mittels dem Filter 5545 erkannt werden.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (35495), Exploit-DB (4203), Tenable (56057), SecurityFocus (BID 24887†) und Secunia (SA26114†) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-37905, VDB-37904, VDB-37903 und VDB-37902. If you want to get best quality of vulnerability data, you may have to visit VulDB.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.3
VulDB Meta Temp Score: 6.0

VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: Unbekannt
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 56057
Nessus Name: Oracle Database Multiple Vulnerabilities (July 2007 CPU)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍

OpenVAS ID: 802522
OpenVAS Name: Oracle Database Server Multiple Components Multiple Vulnerabilities
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Exploit-DB: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: keine Massnahme bekannt
Status: 🔍

0-Day Time: 🔍
TippingPoint: 🔍

McAfee IPS: 🔍
McAfee IPS Version: 🔍

PaloAlto IPS: 🔍
Fortigate IPS: 🔍

Timelineinfo

12.07.2007 🔍
18.07.2007 +6 Tage 🔍
18.07.2007 +0 Tage 🔍
18.07.2007 +0 Tage 🔍
18.07.2007 +0 Tage 🔍
18.07.2007 +0 Tage 🔍
18.07.2007 +0 Tage 🔍
24.07.2007 +6 Tage 🔍
15.03.2015 +2791 Tage 🔍
28.01.2025 +3607 Tage 🔍

Quelleninfo

Hersteller: oracle.com

Advisory: us-cert.gov
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2007-3855 (🔍)
GCVE (CVE): GCVE-0-2007-3855
GCVE (VulDB): GCVE-100-37890
X-Force: 35495
SecurityFocus: 24887
Secunia: 26114 - Oracle Products Multiple Vulnerabilities, Highly Critical
SecurityTracker: 1018415 - Oracle Database and Other Products Have Unspecified Vulnerabilities With Unspecified Impact
Vulnerability Center: 15683 - Oracle Database Multiple Vulnerabilities [July 2007 Critical Patch Update DB03, DB10, DB16, DB17], Medium
Vupen: ADV-2007-2562

scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍

Eintraginfo

Erstellt: 15.03.2015 15:58
Aktualisierung: 28.01.2025 15:34
Anpassungen: 15.03.2015 15:58 (61), 07.04.2017 17:05 (18), 21.07.2021 09:08 (3), 21.07.2021 09:09 (1), 28.01.2025 15:34 (19)
Komplett: 🔍
Cache ID: 216::103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you need the next level of professionalism?

Upgrade your account now!