CVE-2012-1675
Оценки
EPSS
Процентиль: 91.4%
CVSS
Оценка CVSS: 7.5/10
Все оценки CVSS
Вектор: AV:N/AC:L/Au:N/C:P/I:P/A:P
Разбор вектора
CVSS (Common Vulnerability Scoring System) вектор предоставляет детальные метрики о характеристиках уязвимости
CVSS
Вектор атаки
Сеть (N)
Описывает способ эксплуатации уязвимости
Сложность атаки
Низкая (L)
Описывает условия, не зависящие от атакующего
Аутентификация
Отсутствуют (N)
Описывает уровень привилегий, которыми должен обладать атакующий
Воздействие на конфиденциальность
Partial
Измеряет воздействие на конфиденциальность информации
Воздействие на целостность
Partial
Измеряет воздействие на целостность при успешной эксплуатации уязвимости
Воздействие на доступность
Partial
Измеряет воздействие на доступность затронутого компонента
Описание
TNS Listener, используемый в Oracle Database 11g 11.1.0.7, 11.2.0.2 и 11.2.0.3, а также 10g 10.2.0.3, 10.2.0.4 и 10.2.0.5, используемый в Oracle Fusion Middleware, Enterprise Manager, E-Business Suite и, возможно, других продуктах, позволяет удаленным злоумышленникам выполнять произвольные команды базы данных, выполняя удаленную регистрацию (1) экземпляра или (2) имени службы базы данных, которые уже существуют, а затем проводя атаку “человек посередине” (MITM) для перехвата соединений с базой данных, также известную как “TNS Poison”.
Сканер-ВС 7 — современное решение для управления уязвимостями
Источники
CWE
Эксплойты
Рекомендации
Источник: nvd
В настоящее время мы не знаем о практическом решении этой проблемы. Пожалуйста, рассмотрите следующие обходные пункты, предоставленные Oracle.Using Class of Secure Transport (COST) для регистрации в области ограничения регистрации” Для демонстрации того, как параметр COST “SECURE_REGISTER_listener_name” используется для ограничения регистрации экземпляров с слушателями в базе данных. С этим ограничением поСТОЯном действует только локальные экземпляры будут допущены к регистрации. Эти инструкции могут быть использованы для решения проблем, опубликованных в Oracle Security Alert CVE-2012-1675, с помощью COST для ограничения подключений только локальными экземплярами”.Использование класса безопасного транспорта (COST) для регистрации строгого доступа в Oracle RAC” Для демонстрации того, как параметр COST “SECURE_REGTER_listener_name” используется для ограничения регистрации экземпляров с локальным узлом и SCAN слушателями в 11.2. Окружающая среда RAC. С ограничениями COST введены только локальные и разрешенные случаи, имеющие соответствующие учетные данные, будут допущены к регистрации. Эти инструкции могут быть использованы для решения проблем, опубликованных в Oracle Security Alert CVE-2012-1675, с помощью COST для ограничения соединений только теми случаями, имеющими соответствующие учетные данные”.
Уязвимое ПО (1)
Тип: Конфигурация
Поставщик: oracle
Продукт: database_server
Операционная система: * * *
{
"cpe_match": [
{
"cpe23uri": "cpe:2.3:a:oracle:database_server:10.2.0.3:*:*:*:*:*:*:*",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:oracle:database_server:10.2.0.4...{
"cpe_match": [
{
"cpe23uri": "cpe:2.3:a:oracle:database_server:10.2.0.3:*:*:*:*:*:*:*",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:oracle:database_server:10.2.0.4:*:*:*:*:*:*:*",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:oracle:database_server:10.2.0.5:*:*:*:*:*:*:*",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:oracle:database_server:11.1.0.7:*:*:*:*:*:*:*",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:oracle:database_server:11.2.0.2:*:*:*:*:*:*:*",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:oracle:database_server:11.2.0.3:*:*:*:*:*:*:*",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:oracle:database_server:11.2.0.4:*:*:*:*:*:*:*",
"vulnerable": true
}
],
"operator": "OR"
}Источник: nvd