Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database
(Oracle Database)
Описание
Найдена учетная запись или роль, которой был предоставлен доступ с правом выбирать из словаря базы данных.
Словарь базы данных Oracle содержит информацию о базе данных, например, имена пользователей, имена объектов, привилегии и даже пароли. Информация в словаре базы данных очень важна, и такие привилегии на объекты должны предоставляться только при необходимости.
Словари базы данных содержатся в ряде таблиц, владельцами которых являются SYS или SYSTEM. Каждая версия Oracle содержит несколько отличный набор системных таблиц, и в основе многих системных таблиц лежат компоненты, которые устанавливаются вместе с базой данных.
По умолчанию Oracle предоставляет широкий набор привилегий на системные таблицы таким ролям, как PUBLIC, и таким пользователям, как CTXSYS. В большинстве из этих привилегий нет необходимости, и их следует отозвать. Перед тем, как отозвать какие-либо привилегии, необходимо создать резервную копию базы данных, чтобы гарантировать возможность восстановления привилегий в случае, если отзыв привилегий вызовет сбой функции.
Примечание: отзыв разрешений у PUBLIC может привести к неполадкам в сторонних приложениях или даже встроенных компонентах Oracle. Хотя рекомендуемый уровень безопасности желателен, он зачастую не может быть реализован корректно. В большинстве сценариев не рекомендуется отзывать разрешения на системные объекты у роли PUBLIC без тщательного тестирования приложения.
Словарь базы данных Oracle содержит информацию о базе данных, например, имена пользователей, имена объектов, привилегии и даже пароли. Информация в словаре базы данных очень важна, и такие привилегии на объекты должны предоставляться только при необходимости.
Словари базы данных содержатся в ряде таблиц, владельцами которых являются SYS или SYSTEM. Каждая версия Oracle содержит несколько отличный набор системных таблиц, и в основе многих системных таблиц лежат компоненты, которые устанавливаются вместе с базой данных.
По умолчанию Oracle предоставляет широкий набор привилегий на системные таблицы таким ролям, как PUBLIC, и таким пользователям, как CTXSYS. В большинстве из этих привилегий нет необходимости, и их следует отозвать. Перед тем, как отозвать какие-либо привилегии, необходимо создать резервную копию базы данных, чтобы гарантировать возможность восстановления привилегий в случае, если отзыв привилегий вызовет сбой функции.
Примечание: отзыв разрешений у PUBLIC может привести к неполадкам в сторонних приложениях или даже встроенных компонентах Oracle. Хотя рекомендуемый уровень безопасности желателен, он зачастую не может быть реализован корректно. В большинстве сценариев не рекомендуется отзывать разрешения на системные объекты у роли PUBLIC без тщательного тестирования приложения.
Как исправить
Необходимо отозвать доступ к любой системной таблице.
Чтобы отозвать доступ, выполните следующую команду:
REVOKE [привилегия] ON [объект] FROM [пользователь или роль];
Чтобы отозвать доступ, выполните следующую команду:
REVOKE [привилегия] ON [объект] FROM [пользователь или роль];
Ссылки
Oracle 10 :
REVOKE :
http://docs.oracle.com/cd/B19306_01/server.102/b14200/statements_9020.htm
Oracle 11 :
REVOKE :
http://docs.oracle.com/cd/B28359_01/server.111/b28286/statements_9020.htm
REVOKE :
http://docs.oracle.com/cd/B19306_01/server.102/b14200/statements_9020.htm
Oracle 11 :
REVOKE :
http://docs.oracle.com/cd/B28359_01/server.111/b28286/statements_9020.htm