Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database
(Oracle Database)
Описание
Системные привилегии предоставлены учетной записи, а не роли.
Системные привилегии предоставляют пользователям возможность выполнять определенные действия в базе данных. Для большинства приложений обычно требуется назначать множество различных привилегий. Кроме того, разным пользователям требуется разный набор привилегий в зависимости от должностных обязанностей пользователя.
В процессе предоставления или отзыва такого сложного набора привилегий могут возникнуть ошибки и появиться трудности при управлении. Поскольку пользователи приходят в организацию и покидают ее, или просто меняют свои обязанности в организации, осуществлять корректное управление привилегиями непросто. Кроме того, если набор привилегий немного меняется, применить новое изменение ко всем учетным записям проблематично.
Рассмотрим оптимальный способ управления привилегиями. Создаются роли, которые воплощают в себе обязанности типичного пользователя. Затем привилегии назначаются только ролям и ни в коем случае не конкретным пользователям. После назначения привилегий роли предоставляются пользователям, которым они необходимы. Далее, если должность пользователя меняется, требуется всего лишь сменить роль, предоставленную пользователю. Также, если набор привилегий меняется, он меняется для роли и автоматически распространяется на всех пользователей, которым предоставлена эта роль.
Системные привилегии предоставляют пользователям возможность выполнять определенные действия в базе данных. Для большинства приложений обычно требуется назначать множество различных привилегий. Кроме того, разным пользователям требуется разный набор привилегий в зависимости от должностных обязанностей пользователя.
В процессе предоставления или отзыва такого сложного набора привилегий могут возникнуть ошибки и появиться трудности при управлении. Поскольку пользователи приходят в организацию и покидают ее, или просто меняют свои обязанности в организации, осуществлять корректное управление привилегиями непросто. Кроме того, если набор привилегий немного меняется, применить новое изменение ко всем учетным записям проблематично.
Рассмотрим оптимальный способ управления привилегиями. Создаются роли, которые воплощают в себе обязанности типичного пользователя. Затем привилегии назначаются только ролям и ни в коем случае не конкретным пользователям. После назначения привилегий роли предоставляются пользователям, которым они необходимы. Далее, если должность пользователя меняется, требуется всего лишь сменить роль, предоставленную пользователю. Также, если набор привилегий меняется, он меняется для роли и автоматически распространяется на всех пользователей, которым предоставлена эта роль.
Как исправить
Отзовите все привилегии, предоставленные непосредственно пользователю. Затем создайте роль, предоставьте роли все необходимые привилегии, и затем назначьте роль пользователям, которым необходимы указанные привилегии.
Для отзыва привилегий у учетной записи используйте следующую команду:
REVOKE [привилегия] FROM [имя учетной записи];
Чтобы создать роль, воспользуйтесь следующей командой:
CREATE ROLE [имя роли];
Для предоставления роли привилегии, используйте следующую команду:
GRANT [привилегия] TO [имя роли];
Чтобы предоставить пользователю роль, воспользуйтесь следующей командой:
GRANT [имя роли] TO [имя пользователя];
Для отзыва привилегий у учетной записи используйте следующую команду:
REVOKE [привилегия] FROM [имя учетной записи];
Чтобы создать роль, воспользуйтесь следующей командой:
CREATE ROLE [имя роли];
Для предоставления роли привилегии, используйте следующую команду:
GRANT [привилегия] TO [имя роли];
Чтобы предоставить пользователю роль, воспользуйтесь следующей командой:
GRANT [имя роли] TO [имя пользователя];
Ссылки
Oracle 10 :
SYSTEM PRIVILEGES :
http://docs.oracle.com/cd/B19306_01/network.102/b14266/authoriz.htm#i1010570
Oracle 11 :
SYSTEM PRIVILEGES :
http://docs.oracle.com/cd/B28359_01/network.111/b28531/authorization.htm#DBSEG40431
SYSTEM PRIVILEGES :
http://docs.oracle.com/cd/B19306_01/network.102/b14266/authoriz.htm#i1010570
Oracle 11 :
SYSTEM PRIVILEGES :
http://docs.oracle.com/cd/B28359_01/network.111/b28531/authorization.htm#DBSEG40431