Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database
(Oracle Database)
Описание
Привилегии на объекты были предоставлены роли PUBLIC.
Роль PUBLIC представляет собой встроенную роль, которая охватывает всех пользователей базы данных. Пользователю базы данных нет необходимости предоставлять роль PUBLIC, отозвать у пользователя роль PUBLIC невозможно. Когда привилегия на объекты предоставляется роли PUBLIC, фактически происходит предоставление привилегии всем пользователям базы данных.
Вместо предоставления привилегий на объекты роли PUBLIC следует определять роли для отдельной базы данных и предоставлять эти роли пользователям, которым они необходимы.
В Oracle по умолчанию существует ряд привилегий, которые предоставлены роли PUBLIC. Следует сформировать список предоставленных привилегий, изучить каждую предоставленную привилегию и определить, является ли она необходимой. Большинство предоставленных привилегий связаны с определенными компонентами Oracle, которые скорее всего не используются, - такие привилегии можно отозвать. Следует записать исходные привилегии в базу данных до внесения изменений или отзыва привилегий на тот случай, если привилегии буду удалены некорректно и возникнет необходимость в восстановлении прежних привилегий.
Примечание: отзыв разрешений у PUBLIC может привести к неполадкам в сторонних приложениях или даже встроенных компонентах Oracle. Хотя рекомендуемый уровень безопасности желателен, он зачастую не может быть реализован корректно. В большинстве сценариев не рекомендуется отзывать разрешения на системные объекты у роли PUBLIC без тщательного тестирования приложения.
Роль PUBLIC представляет собой встроенную роль, которая охватывает всех пользователей базы данных. Пользователю базы данных нет необходимости предоставлять роль PUBLIC, отозвать у пользователя роль PUBLIC невозможно. Когда привилегия на объекты предоставляется роли PUBLIC, фактически происходит предоставление привилегии всем пользователям базы данных.
Вместо предоставления привилегий на объекты роли PUBLIC следует определять роли для отдельной базы данных и предоставлять эти роли пользователям, которым они необходимы.
В Oracle по умолчанию существует ряд привилегий, которые предоставлены роли PUBLIC. Следует сформировать список предоставленных привилегий, изучить каждую предоставленную привилегию и определить, является ли она необходимой. Большинство предоставленных привилегий связаны с определенными компонентами Oracle, которые скорее всего не используются, - такие привилегии можно отозвать. Следует записать исходные привилегии в базу данных до внесения изменений или отзыва привилегий на тот случай, если привилегии буду удалены некорректно и возникнет необходимость в восстановлении прежних привилегий.
Примечание: отзыв разрешений у PUBLIC может привести к неполадкам в сторонних приложениях или даже встроенных компонентах Oracle. Хотя рекомендуемый уровень безопасности желателен, он зачастую не может быть реализован корректно. В большинстве сценариев не рекомендуется отзывать разрешения на системные объекты у роли PUBLIC без тщательного тестирования приложения.
Как исправить
Отзовите привилегию на объекты у роли PUBLIC. Предоставьте привилегии на объекты только тем ролям, пользователям которых привилегия необходима.
Чтобы отозвать привилегию на объекты, используйте следующую команду:
REVOKE [привилегия] ON [владелец].[объект] FROM PUBLIC;
Чтобы отозвать привилегию на объекты, используйте следующую команду:
REVOKE [привилегия] ON [владелец].[объект] FROM PUBLIC;
Ссылки
Oracle 10 :
PUBLIC :
http://docs.oracle.com/cd/B19306_01/network.102/b14266/admusers.htm#i1009090
Oracle 11:
PUBLIC :
http://docs.oracle.com/cd/B28359_01/network.111/b28531/authorization.htm#BABHJFCF
PUBLIC :
http://docs.oracle.com/cd/B19306_01/network.102/b14266/admusers.htm#i1009090
Oracle 11:
PUBLIC :
http://docs.oracle.com/cd/B28359_01/network.111/b28531/authorization.htm#BABHJFCF