Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database
(Oracle Database)
Описание
Параметр REMOTE_OS_ROLES настроен на TRUE.
Аутентификацию Oracle можно настроить несколькими способами. Аутентификация настраивается в файле init.ora с помощью специальных параметров. Параметр REMOTE_OS_ROLES позволяет учетным записям, которые прошли удаленную аутентификацию, использовать роли пользователя операционной системы.
Чтобы лучше понять, что означает понятие "пользователь, прошедший удаленную аутентификацию", необходимо рассмотреть, как работает параметр REMOTE_OS_AUTHENT. Настройка параметр REMOTE_OS_AUTHENT на TRUE позволяет базе данных доверить аутентификацию пользователей удаленной операционной системе. Пользователь, который прошел аутентификацию у клиента, а не в базе данных, считается пользователем, прошедшим удаленную аутентификацию.
Рассмотрим работу параметра OS_ROLES. Параметр OS_ROLES позволяет Oracle активировать роли, основываясь на участии в группах в операционной системе, что может способствовать уменьшению административных затрат на управление пользователями. Если параметр OS_ROLE настроен на TRUE, то будет неважно, какие роли были предоставлены пользователям в базе данных. Для пользователей будут активированы роли в зависимости от их принадлежности к определенной группе в операционной системе.
Параметр REMOTE_OS_ROLES позволяет совместно использовать два ранее упомянутых параметра. При настройке REMOTE_OS_ROLES на FALSE, для пользователя, который прошел удаленную аутентификацию, не будет активирована его группа операционной системы, даже если OS_ROLES настроен на TRUE. Можно разрешить активировать группы операционной системы для пользователей, удаленно прошедших аутентификацию, настроив параметр REMOTE_OS_ROLES на TRUE.
Разрешать удаленную аутентификацию пользователей небезопасно. Добавление возможности использовать роли операционной системы для таких пользователей, настроив REMOTE_OS_ROLES на TRUE, еще больше понижает уровень безопасности.
Аутентификацию Oracle можно настроить несколькими способами. Аутентификация настраивается в файле init.ora с помощью специальных параметров. Параметр REMOTE_OS_ROLES позволяет учетным записям, которые прошли удаленную аутентификацию, использовать роли пользователя операционной системы.
Чтобы лучше понять, что означает понятие "пользователь, прошедший удаленную аутентификацию", необходимо рассмотреть, как работает параметр REMOTE_OS_AUTHENT. Настройка параметр REMOTE_OS_AUTHENT на TRUE позволяет базе данных доверить аутентификацию пользователей удаленной операционной системе. Пользователь, который прошел аутентификацию у клиента, а не в базе данных, считается пользователем, прошедшим удаленную аутентификацию.
Рассмотрим работу параметра OS_ROLES. Параметр OS_ROLES позволяет Oracle активировать роли, основываясь на участии в группах в операционной системе, что может способствовать уменьшению административных затрат на управление пользователями. Если параметр OS_ROLE настроен на TRUE, то будет неважно, какие роли были предоставлены пользователям в базе данных. Для пользователей будут активированы роли в зависимости от их принадлежности к определенной группе в операционной системе.
Параметр REMOTE_OS_ROLES позволяет совместно использовать два ранее упомянутых параметра. При настройке REMOTE_OS_ROLES на FALSE, для пользователя, который прошел удаленную аутентификацию, не будет активирована его группа операционной системы, даже если OS_ROLES настроен на TRUE. Можно разрешить активировать группы операционной системы для пользователей, удаленно прошедших аутентификацию, настроив параметр REMOTE_OS_ROLES на TRUE.
Разрешать удаленную аутентификацию пользователей небезопасно. Добавление возможности использовать роли операционной системы для таких пользователей, настроив REMOTE_OS_ROLES на TRUE, еще больше понижает уровень безопасности.
Как исправить
Для предотвращения этой уязвимости необходимо настроить параметр REMOTE_OS_ROLES на FALSE. Значение по умолчанию - FALSE. Настроить этот параметр можно, добавив следующую строку в файл init.ora:
REMOTE_OS_ROLES=FALSE;
После смены значения потребуется остановить и перезапустить базу данных.
REMOTE_OS_ROLES=FALSE;
После смены значения потребуется остановить и перезапустить базу данных.