int(2320)

Vulnerability Bulletins

Aumento de privilegios en Oracle Database

Vulnerability classification
Property Value
Confidence level Probable
Impact Aumento de privilegios
Dificulty Experto
Required attacker level Acceso remoto con cuenta

System information
Property Value
Affected manufacturer Comercial Software
Affected software Oracle Database 9.1.0.0-10.2.0.3

Description
Se ha descubierto una vulnerabilidad en Oracle Database 9.1.0.0 hasta 10.2.0.3. La vulnerabilidad reside en que un usuario con permiso "SELECT" podría realizar "INSERT", "UPDATE", y "DELETE".

Un atacante local podría elevar sus privilegios mediante una vista especialmente diseñada.

Solution
Actualmente no existe ningún parche disponible.

Standar resources
Property Value
CVE CVE-2006-1705
BID

Other resources
Red Database Security (Read-only user can modify data via views)
http://www.red-database-security.com/advisory/oracle_modify_data_via_views.html

Version history
Version Comments Date
1.0 Aviso emitido 2006-04-12
Ministerio de Defensa
CNI
CCN
CCN-CERT