Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database
(Oracle Database)
Описание
Найдена учетная запись, которой предоставлена системная привилегия ALTER SYSTEM.
Oracle содержит параметр инициализации под названием fixed_date. Параметр fixed_date настраивается в файле init.ora или с использованием команды ALTER SYSTEM. Данный параметр позволяет настроить постоянное значение, которое функция SYSDATE будет возвращать. Параметр предназначен для тестирования особых системных значений времени и даты. Для выполнения команды ALTER SYSTEM пользователь должен обладать привилегией ALTER SYSTEM. Чтобы редактировать значение в файле init.ora, пользователь должен обладать правами на чтение и запись в файле операционной системы.
Поскольку многие приложения используют значение, которое возвращает функция SYSDATE, для выполнения расчетов (например, дат выплаты процентов или дат выдачи заработной платы), возможность управлять этим значением очень важна. Злоумышленник или пользователь, который может получить привилегию ALTER SYSTEM, может использовать привилегированный доступ для воздействия на приложение. Обычно привилегия не предоставляется непривилегированным пользователям. Однако некоторым стандартным учетным записям, включая CTXSYS, MDSYS, PORTAL30 и PORTAL30_SSO, указанная системная привилегия предоставлена. Необходимо отозвать привилегию ALTER SYSTEM у данных учетных записей и убедиться, что для указанных учетных записей установлены надежные пароли.
Oracle содержит параметр инициализации под названием fixed_date. Параметр fixed_date настраивается в файле init.ora или с использованием команды ALTER SYSTEM. Данный параметр позволяет настроить постоянное значение, которое функция SYSDATE будет возвращать. Параметр предназначен для тестирования особых системных значений времени и даты. Для выполнения команды ALTER SYSTEM пользователь должен обладать привилегией ALTER SYSTEM. Чтобы редактировать значение в файле init.ora, пользователь должен обладать правами на чтение и запись в файле операционной системы.
Поскольку многие приложения используют значение, которое возвращает функция SYSDATE, для выполнения расчетов (например, дат выплаты процентов или дат выдачи заработной платы), возможность управлять этим значением очень важна. Злоумышленник или пользователь, который может получить привилегию ALTER SYSTEM, может использовать привилегированный доступ для воздействия на приложение. Обычно привилегия не предоставляется непривилегированным пользователям. Однако некоторым стандартным учетным записям, включая CTXSYS, MDSYS, PORTAL30 и PORTAL30_SSO, указанная системная привилегия предоставлена. Необходимо отозвать привилегию ALTER SYSTEM у данных учетных записей и убедиться, что для указанных учетных записей установлены надежные пароли.
Как исправить
У всех учетных записей, которые не требуют системной привилегии ALTER SYSTEM, отзовите привилегию, используя следующую команду:
REVOKE ALTER SYSTEM FROM [роль или пользователь];
REVOKE ALTER SYSTEM FROM [роль или пользователь];
Ссылки
Oracle 10 :
ALTER SYSTEM :
http://docs.oracle.com/cd/B19306_01/server.102/b14200/statements_2013.htm
Oracle 11 :
ALTER SYSTEM :
http://docs.oracle.com/cd/B28359_01/server.111/b28286/statements_2013.htm
ALTER SYSTEM :
http://docs.oracle.com/cd/B19306_01/server.102/b14200/statements_2013.htm
Oracle 11 :
ALTER SYSTEM :
http://docs.oracle.com/cd/B28359_01/server.111/b28286/statements_2013.htm