Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database
(Oracle Database)
Описание
Привилегия EXECUTE на пакет SYS.UTL_SMTP предоставлена роли PUBLIC.
Oracle предоставляет встроенный пакет под названием UTL_SMTP в схеме SYS. Пакет позволяет пользователю базы данных отправлять или получать email-сообщения с помощью PL/SQL. Этот компонент значительно расширяет функциональность Oracle и при корректном использовании позволяет оказывать существенное влияние на работу системы.
Пакет UTL_SMTP сам по себе не является уязвимостью. Однако этот пакет часто используется злоумышленниками как средство получения результатов из базы данных, если они не доступны напрямую. Например, UTL_SMTP может использоваться при таких атаках, как внедрение SQL-кода. Внедрение SQL-кода представляет собой внедрение команд SQL в другие команды через веб-браузер. Атаки внедрения SQL-кода позволяют злоумышленнику запускать команды в базе данных, но могут не возвращать результаты. Используя такие пакеты, как UTL_SMTP, злоумышленник может отправить себе email-сообщение, содержащее необходимую информацию, даже если результаты не были возвращены браузеру.
Поскольку этот компонент может эксплуатироваться злоумышленниками, рекомендуется не предоставлять к нему доступ без необходимости. Ограничить доступ к пакету можно, отозвав привилегии на выполнение указанного пакета у роли PUBLIC.
Примечание: отзыв разрешений у PUBLIC может привести к неполадкам в сторонних приложениях или даже встроенных компонентах Oracle. Хотя рекомендуемый уровень безопасности желателен, он зачастую не может быть реализован корректно. В большинстве сценариев не рекомендуется отзывать разрешения на системные объекты у роли PUBLIC без тщательного тестирования приложения.
Oracle предоставляет встроенный пакет под названием UTL_SMTP в схеме SYS. Пакет позволяет пользователю базы данных отправлять или получать email-сообщения с помощью PL/SQL. Этот компонент значительно расширяет функциональность Oracle и при корректном использовании позволяет оказывать существенное влияние на работу системы.
Пакет UTL_SMTP сам по себе не является уязвимостью. Однако этот пакет часто используется злоумышленниками как средство получения результатов из базы данных, если они не доступны напрямую. Например, UTL_SMTP может использоваться при таких атаках, как внедрение SQL-кода. Внедрение SQL-кода представляет собой внедрение команд SQL в другие команды через веб-браузер. Атаки внедрения SQL-кода позволяют злоумышленнику запускать команды в базе данных, но могут не возвращать результаты. Используя такие пакеты, как UTL_SMTP, злоумышленник может отправить себе email-сообщение, содержащее необходимую информацию, даже если результаты не были возвращены браузеру.
Поскольку этот компонент может эксплуатироваться злоумышленниками, рекомендуется не предоставлять к нему доступ без необходимости. Ограничить доступ к пакету можно, отозвав привилегии на выполнение указанного пакета у роли PUBLIC.
Примечание: отзыв разрешений у PUBLIC может привести к неполадкам в сторонних приложениях или даже встроенных компонентах Oracle. Хотя рекомендуемый уровень безопасности желателен, он зачастую не может быть реализован корректно. В большинстве сценариев не рекомендуется отзывать разрешения на системные объекты у роли PUBLIC без тщательного тестирования приложения.
Как исправить
Отзовите привилегии на выполнение пакета SYS.UTL_SMTP у роли PUBLIC. Предоставьте привилегии на выполнение этого пакета только тем учетным записям, которым это необходимо.
Отзовите привилегию, используя следующую команду:
REVOKE EXECUTE ON SYS.UTL_SMTP FROM PUBLIC;
Отзовите привилегию, используя следующую команду:
REVOKE EXECUTE ON SYS.UTL_SMTP FROM PUBLIC;