• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Привилегия на выполнение пакета UTL_HTTP предоставлена роли PUBLIC

Главная Специалистам База уязвимостей Привилегия на выполнение пакета UTL_HTTP предоставлена роли PUBLIC

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database (Oracle Database)
Описание
Привилегия EXECUTE на пакет SYS.UTL_HTTP была предоставлена роли PUBLIC.
Oracle предоставляет встроенный пакет под названием UTL_HTTP в схеме SYS. Этот пакет позволяет пользователю базы данных отправлять запросы и отклики HTTP. Данный компонент значительно расширяет функциональность Oracle и при корректном использовании позволяет оказывать существенное влияние на работу системы.
Пакет UTL_HTTP сам по себе не является уязвимостью. Однако этот пакет часто используется злоумышленниками как средство получения результатов из базы данных, если они не доступны напрямую. Например, UTL_HTTP может использоваться при таких атаках, как внедрение SQL-кода. Внедрение SQL-кода представляет собой помещение команд SQL в другие команды через веб-браузер. Атаки внедрения SQL-кода позволяют злоумышленнику запускать команды в базе данных, но могут не возвращать результаты. Используя такие пакеты, как UTL_HTTP, злоумышленник отправить себе HTTP-запрос, содержащий необходимую информацию, даже если результаты не были возвращены браузеру. Поскольку результаты включены в HTTP-запрос, они также могут проходить сквозь большинство межсетевых экранов.
Поскольку этот компонент может эксплуатироваться злоумышленниками, рекомендуется не предоставлять к нему доступ без необходимости. Ограничить доступ к пакету можно, отозвав привилегии на выполнение пакета у роли PUBLIC.
Примечание: отзыв разрешений у PUBLIC может привести к неполадкам в сторонних приложениях или даже встроенных компонентах Oracle. Хотя рекомендуемый уровень безопасности желателен, он зачастую не может быть реализован корректно. В большинстве сценариев не рекомендуется отзывать разрешения на системные объекты у роли PUBLIC без тщательного тестирования приложения.
Как исправить
Отзовите привилегии на выполнение пакета SYS.UTL_HTTP у роли PUBLIC. Предоставьте привилегии на выполнение пакета только тем учетным записям, которым это необходимо.
Отзовите привилегию, используя следующую команду:
REVOKE EXECUTE ON SYS.UTL_HTTP FROM PUBLIC;