Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database
(Oracle Database)
Описание
Привилегия EXECUTE на пакет SYS.DBMS_RANDOM была предоставлена роли PUBLIC.
Oracle предоставляет встроенный пакет под названием DBMS_RANDOM в схеме SYS. Этот пакет позволяет пользователю базы данных генерировать случайные числа, которые могут использоваться для шифрования хранимых данных. Случайные числа, которые генерируются этим пакетом, не являются криптографически стойкими и не должны использоваться при шифровании. Кроме того, большинство пользователей не должно обладать привилегиями на шифрование хранимых данных. Если пользователь выполнит шифрование некорректно, существует вероятность того, что восстановить зашифрованные данные будет невозможно.
Принимая во внимание указанные обстоятельства, рекомендуется не предоставлять доступ к данному компоненту без необходимости. Ограничить доступ к пакету можно, отозвав привилегии на выполнение указанного пакета у роли PUBLIC.
Примечание: отзыв разрешений у PUBLIC может привести к неполадкам в сторонних приложениях или даже встроенных компонентах Oracle. Хотя рекомендуемый уровень безопасности желателен, он зачастую не может быть реализован корректно. В большинстве сценариев не рекомендуется отзывать разрешения на системные объекты у роли PUBLIC без тщательного тестирования приложения.
Oracle предоставляет встроенный пакет под названием DBMS_RANDOM в схеме SYS. Этот пакет позволяет пользователю базы данных генерировать случайные числа, которые могут использоваться для шифрования хранимых данных. Случайные числа, которые генерируются этим пакетом, не являются криптографически стойкими и не должны использоваться при шифровании. Кроме того, большинство пользователей не должно обладать привилегиями на шифрование хранимых данных. Если пользователь выполнит шифрование некорректно, существует вероятность того, что восстановить зашифрованные данные будет невозможно.
Принимая во внимание указанные обстоятельства, рекомендуется не предоставлять доступ к данному компоненту без необходимости. Ограничить доступ к пакету можно, отозвав привилегии на выполнение указанного пакета у роли PUBLIC.
Примечание: отзыв разрешений у PUBLIC может привести к неполадкам в сторонних приложениях или даже встроенных компонентах Oracle. Хотя рекомендуемый уровень безопасности желателен, он зачастую не может быть реализован корректно. В большинстве сценариев не рекомендуется отзывать разрешения на системные объекты у роли PUBLIC без тщательного тестирования приложения.
Как исправить
Отзовите привилегии на выполнение пакета SYS.DBMS_RANDOM у роли PUBLIC. Предоставьте привилегии на выполнение пакета только тем учетным записям, которым это необходимо.
Отзовите привилегию, используя следующую команду:
REVOKE EXECUTE ON SYS.DBMS_RANDOM FROM PUBLIC;
Отзовите привилегию, используя следующую команду:
REVOKE EXECUTE ON SYS.DBMS_RANDOM FROM PUBLIC;
Ссылки
Oracle 10 :
DBMS_RANDOM :
http://docs.oracle.com/cd/B19306_01/appdev.102/b14258/d_random.htm
Oracle 11 :
DBMS_RANDOM :
http://docs.oracle.com/cd/B28359_01/appdev.111/b28419/d_random.htm
DBMS_RANDOM :
http://docs.oracle.com/cd/B19306_01/appdev.102/b14258/d_random.htm
Oracle 11 :
DBMS_RANDOM :
http://docs.oracle.com/cd/B28359_01/appdev.111/b28419/d_random.htm