Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database
(Oracle Database)
Описание
Привилегия EXECUTE на пакет SYS.UTL_HTTP была предоставлена роли PUBLIC.
Oracle предоставляет встроенный пакет под названием UTL_HTTP в схеме SYS. Этот пакет позволяет пользователю базы данных отправлять запросы и отклики HTTP. Данный компонент значительно расширяет функциональность Oracle и при корректном использовании позволяет оказывать существенное влияние на работу системы.
Пакет UTL_HTTP сам по себе не является уязвимостью. Однако этот пакет часто используется злоумышленниками как средство получения результатов из базы данных, если они не доступны напрямую. Например, UTL_HTTP может использоваться при таких атаках, как внедрение SQL-кода. Внедрение SQL-кода представляет собой помещение команд SQL в другие команды через веб-браузер. Атаки внедрения SQL-кода позволяют злоумышленнику запускать команды в базе данных, но могут не возвращать результаты. Используя такие пакеты, как UTL_HTTP, злоумышленник отправить себе HTTP-запрос, содержащий необходимую информацию, даже если результаты не были возвращены браузеру. Поскольку результаты включены в HTTP-запрос, они также могут проходить сквозь большинство межсетевых экранов.
Поскольку этот компонент может эксплуатироваться злоумышленниками, рекомендуется не предоставлять к нему доступ без необходимости. Ограничить доступ к пакету можно, отозвав привилегии на выполнение пакета у роли PUBLIC.
Примечание: отзыв разрешений у PUBLIC может привести к неполадкам в сторонних приложениях или даже встроенных компонентах Oracle. Хотя рекомендуемый уровень безопасности желателен, он зачастую не может быть реализован корректно. В большинстве сценариев не рекомендуется отзывать разрешения на системные объекты у роли PUBLIC без тщательного тестирования приложения.
Oracle предоставляет встроенный пакет под названием UTL_HTTP в схеме SYS. Этот пакет позволяет пользователю базы данных отправлять запросы и отклики HTTP. Данный компонент значительно расширяет функциональность Oracle и при корректном использовании позволяет оказывать существенное влияние на работу системы.
Пакет UTL_HTTP сам по себе не является уязвимостью. Однако этот пакет часто используется злоумышленниками как средство получения результатов из базы данных, если они не доступны напрямую. Например, UTL_HTTP может использоваться при таких атаках, как внедрение SQL-кода. Внедрение SQL-кода представляет собой помещение команд SQL в другие команды через веб-браузер. Атаки внедрения SQL-кода позволяют злоумышленнику запускать команды в базе данных, но могут не возвращать результаты. Используя такие пакеты, как UTL_HTTP, злоумышленник отправить себе HTTP-запрос, содержащий необходимую информацию, даже если результаты не были возвращены браузеру. Поскольку результаты включены в HTTP-запрос, они также могут проходить сквозь большинство межсетевых экранов.
Поскольку этот компонент может эксплуатироваться злоумышленниками, рекомендуется не предоставлять к нему доступ без необходимости. Ограничить доступ к пакету можно, отозвав привилегии на выполнение пакета у роли PUBLIC.
Примечание: отзыв разрешений у PUBLIC может привести к неполадкам в сторонних приложениях или даже встроенных компонентах Oracle. Хотя рекомендуемый уровень безопасности желателен, он зачастую не может быть реализован корректно. В большинстве сценариев не рекомендуется отзывать разрешения на системные объекты у роли PUBLIC без тщательного тестирования приложения.
Как исправить
Отзовите привилегии на выполнение пакета SYS.UTL_HTTP у роли PUBLIC. Предоставьте привилегии на выполнение пакета только тем учетным записям, которым это необходимо.
Отзовите привилегию, используя следующую команду:
REVOKE EXECUTE ON SYS.UTL_HTTP FROM PUBLIC;
Отзовите привилегию, используя следующую команду:
REVOKE EXECUTE ON SYS.UTL_HTTP FROM PUBLIC;