• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Включен параметр "Remote OS Roles"

Главная Специалистам База уязвимостей Включен параметр "Remote OS Roles"

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database (Oracle Database)
Описание
Параметр REMOTE_OS_ROLES настроен на TRUE.
Аутентификацию Oracle можно настроить несколькими способами. Аутентификация настраивается в файле init.ora с помощью специальных параметров. Параметр REMOTE_OS_ROLES позволяет учетным записям, которые прошли удаленную аутентификацию, использовать роли пользователя операционной системы.
Чтобы лучше понять, что означает понятие "пользователь, прошедший удаленную аутентификацию", необходимо рассмотреть, как работает параметр REMOTE_OS_AUTHENT. Настройка параметр REMOTE_OS_AUTHENT на TRUE позволяет базе данных доверить аутентификацию пользователей удаленной операционной системе. Пользователь, который прошел аутентификацию у клиента, а не в базе данных, считается пользователем, прошедшим удаленную аутентификацию.
Рассмотрим работу параметра OS_ROLES. Параметр OS_ROLES позволяет Oracle активировать роли, основываясь на участии в группах в операционной системе, что может способствовать уменьшению административных затрат на управление пользователями. Если параметр OS_ROLE настроен на TRUE, то будет неважно, какие роли были предоставлены пользователям в базе данных. Для пользователей будут активированы роли в зависимости от их принадлежности к определенной группе в операционной системе.
Параметр REMOTE_OS_ROLES позволяет совместно использовать два ранее упомянутых параметра. При настройке REMOTE_OS_ROLES на FALSE, для пользователя, который прошел удаленную аутентификацию, не будет активирована его группа операционной системы, даже если OS_ROLES настроен на TRUE. Можно разрешить активировать группы операционной системы для пользователей, удаленно прошедших аутентификацию, настроив параметр REMOTE_OS_ROLES на TRUE.
Разрешать удаленную аутентификацию пользователей небезопасно. Добавление возможности использовать роли операционной системы для таких пользователей, настроив REMOTE_OS_ROLES на TRUE, еще больше понижает уровень безопасности.
Как исправить
Для предотвращения этой уязвимости необходимо настроить параметр REMOTE_OS_ROLES на FALSE. Значение по умолчанию - FALSE. Настроить этот параметр можно, добавив следующую строку в файл init.ora:
REMOTE_OS_ROLES=FALSE;
После смены значения потребуется остановить и перезапустить базу данных.