Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database
(Oracle Database)
Описание
Найдена учетная запись или роль с разрешениями изменять или просматривать таблицу аудита.
Систему аудита в Oracle можно настроить на запись различных событий, происходящих в базе данных. События аудита хранятся в таблице SYS.AUD$ . Данные аудита, хранящиеся в этой таблице, предоставляют сведения, необходимые для определения времени и способа атаки.
Доступ с правом на выполнение любых действий в этой таблице должен тщательно контролироваться. При активном аудите объем таблицы SYS.AUD$ может существенно увеличиваться. Единственной учетной запиcью с правом на удаление, изменение или просмотр данных из указанной таблицы должна быть учетная запись администратора системы безопасности.
Предоставление доступа с правом на удаление или обновление таблицы аудита (SYS.AUD$) может способствовать удалению из журнала аудита тех данных, которые свидетельствуют о действиях злоумышленника. Через удаление таких данных злоумышленник может попытаться скрыть следы своей активности.
Для пользователя, обладающего правом выбора из таблицы, существует возможность получить доступ к особо важным данным. Например, при аудите неудачных соединений имя пользователя записывается в журнал аудита. Известно, что пользователи часто путают имя пользователя и пароль при вводе - т. е. они вводят пароль в поле имени пользователя и имя пользователя в поле для ввода пароля. В этом случае, злоумышленник может просмотреть записи журнала аудита в поисках возможных паролей. Владелец таблицы (SYS) автоматически будет иметь доступ к системе. Любой другой пользователь с привилегией DELETE ANY TABLE, SELECT ANY TABLE или UPDATE ANY TABLE, или любой пользователь, которому привилегия была предоставлена SYS, может изменять или просматривать записи журнала аудита базы данных. Следует просмотреть список пользователей и отозвать указанные привилегии у всех учетных записей, которые не являются учетными записями администраторов системы безопасности.
Систему аудита в Oracle можно настроить на запись различных событий, происходящих в базе данных. События аудита хранятся в таблице SYS.AUD$ . Данные аудита, хранящиеся в этой таблице, предоставляют сведения, необходимые для определения времени и способа атаки.
Доступ с правом на выполнение любых действий в этой таблице должен тщательно контролироваться. При активном аудите объем таблицы SYS.AUD$ может существенно увеличиваться. Единственной учетной запиcью с правом на удаление, изменение или просмотр данных из указанной таблицы должна быть учетная запись администратора системы безопасности.
Предоставление доступа с правом на удаление или обновление таблицы аудита (SYS.AUD$) может способствовать удалению из журнала аудита тех данных, которые свидетельствуют о действиях злоумышленника. Через удаление таких данных злоумышленник может попытаться скрыть следы своей активности.
Для пользователя, обладающего правом выбора из таблицы, существует возможность получить доступ к особо важным данным. Например, при аудите неудачных соединений имя пользователя записывается в журнал аудита. Известно, что пользователи часто путают имя пользователя и пароль при вводе - т. е. они вводят пароль в поле имени пользователя и имя пользователя в поле для ввода пароля. В этом случае, злоумышленник может просмотреть записи журнала аудита в поисках возможных паролей. Владелец таблицы (SYS) автоматически будет иметь доступ к системе. Любой другой пользователь с привилегией DELETE ANY TABLE, SELECT ANY TABLE или UPDATE ANY TABLE, или любой пользователь, которому привилегия была предоставлена SYS, может изменять или просматривать записи журнала аудита базы данных. Следует просмотреть список пользователей и отозвать указанные привилегии у всех учетных записей, которые не являются учетными записями администраторов системы безопасности.
Как исправить
Отзовите привилегии на объекты у учетной записи или роли, используя следующую команду:
REVOKE [разрешение] ON SYS.AUD$ FROM [пользователь или роль];
Отзовите системные привилегии у учетной записи или роли, используя следующую команду:
REVOKE [системная привилегия] FROM [пользователь или роль];
REVOKE [разрешение] ON SYS.AUD$ FROM [пользователь или роль];
Отзовите системные привилегии у учетной записи или роли, используя следующую команду:
REVOKE [системная привилегия] FROM [пользователь или роль];
Ссылки
