• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Учетная запись может выполнять действия от имени другого пользователя

Главная Специалистам База уязвимостей Учетная запись может выполнять действия от имени другого пользователя

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database (Oracle Database)
Описание
Учетной записи предоставлена привилегия BECOME USER или ALTER USER.
Oracle поддерживает ряд привилегий, которые предоставляют пользователю возможность выполнять действия над типами объектов. Существует две привилегии, которые могут быть использованы для выполнения действий от имени другого пользователя - BECOME USER и ALTER USER. Рекомендуется предоставлять эти привилегии только администраторам баз данных.
ALTER USER может использоваться для смены пароля учетной записи. Используя данную привилегию, злоумышленник может сменить пароль пользователя, войти от его имени, выполнить специальные действия и восстановить исходный пароль.
Возможность входа под учетными записями других пользователей приводит к ограничению функций учета и аудита.
Как исправить
Отзовите указанные привилегии у пользователей, которые не являются администраторами баз данных. Чтобы отозвать указанные привилегии у учетной записи или роли, выполните следующую команду:
REVOKE BECOME USER FROM [пользователь или роль];
REVOKE ALTER USER FROM [пользователь или роль];