• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Предоставлена привилегия выбирать из словаря базы данных

Главная Специалистам База уязвимостей Предоставлена привилегия выбирать из словаря базы данных

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database (Oracle Database)
Описание
Найдена учетная запись или роль, которой был предоставлен доступ с правом выбирать из словаря базы данных.
Словарь базы данных Oracle содержит информацию о базе данных, например, имена пользователей, имена объектов, привилегии и даже пароли. Информация в словаре базы данных очень важна, и такие привилегии на объекты должны предоставляться только при необходимости.
Словари базы данных содержатся в ряде таблиц, владельцами которых являются SYS или SYSTEM. Каждая версия Oracle содержит несколько отличный набор системных таблиц, и в основе многих системных таблиц лежат компоненты, которые устанавливаются вместе с базой данных.
По умолчанию Oracle предоставляет широкий набор привилегий на системные таблицы таким ролям, как PUBLIC, и таким пользователям, как CTXSYS. В большинстве из этих привилегий нет необходимости, и их следует отозвать. Перед тем, как отозвать какие-либо привилегии, необходимо создать резервную копию базы данных, чтобы гарантировать возможность восстановления привилегий в случае, если отзыв привилегий вызовет сбой функции.
Примечание: отзыв разрешений у PUBLIC может привести к неполадкам в сторонних приложениях или даже встроенных компонентах Oracle. Хотя рекомендуемый уровень безопасности желателен, он зачастую не может быть реализован корректно. В большинстве сценариев не рекомендуется отзывать разрешения на системные объекты у роли PUBLIC без тщательного тестирования приложения.
Как исправить
Необходимо отозвать доступ к любой системной таблице.
Чтобы отозвать доступ, выполните следующую команду:
REVOKE [привилегия] ON [объект] FROM [пользователь или роль];