Oracleリスナープログラムのロギング権限昇格(1361722)
high Nessus プラグイン ID 26192
Language:
概要
リモートデータベースサービスで、任意のコード実行が許可されます。説明
バージョン番号によって、リモートホスト上のOracleリスナープログラム(tnslsnr)に、「SET TRC_FILE」コマンドおよび「SET LOG_FILE」コマンドに関する問題があります。攻撃者がこの問題を利用して、リスナープログラムを動かしている権限によって任意のファイルに任意のデータを記録し、既存のファイルを破損したり、新しいファイルを作成したりする可能性があります。また、リスナーのシャットダウンやクラッシュを引き起こす可能性がある攻撃の対象にもなります。
ソリューション
上記のベンダーアドバイザリで参照されているパッチを適用してください。参考資料
http://web.archive.org/web/20080404173741/http://xforce.iss.net:80/xforce/alerts/id/advise66
http://www.oracle.com/technology/deploy/security/pdf/listener_alert.pdf
プラグインの詳細
深刻度: High
ID: 26192
ファイル名: oracle_tnslsnr_1361722.nasl
バージョン: 1.16
タイプ: remote
ファミリー: Databases
公開日: 2007/9/27
更新日: 2022/4/11
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: cpe:/a:oracle:listener
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2000/10/25
脆弱性公開日: 2000/10/25
参照情報
CVE: CVE-2000-0818
BID: 1853