VulDB: Oracle Database unbekannte Schwachstelle [CVE-2009-0217]
Allgemein
scipID: 4002
Betroffen: Oracle Database sowie weitere verwandte Produkte
Veröffentlicht: 15.07.2009
Risiko: 
kritisch
Eintrag: 88.7% komplett
Erstellt: 20.07.2009
Aktualisiert: 03.09.2012
Beschreibung
Oracle Corporation ist der weltweit drittgrößte Softwarehersteller1 mit Hauptsitz in Redwood Shores (Silicon Valley, Kalifornien). Bekanntestes und erfolgreichstes Produkt des Unternehmens ist das Datenbankmanagementsystem Oracle Database, welches üblicherweise mit dem Namen Oracle in Verbindung gebracht wird. In einem kumulativen Softwareupdate fixt Oracle eine Vielzahl von Schwachstellen, die seit längerer Zeit offen waren und teilweise kritische Sicherheitslücken darstellten. Mitunter wird der Fehler auch in den Datenbanken von Secunia (SA38921), SecurityFocus (BID 35671) und SecurityTracker (ID 1022661) dokumentiert.
Für den Vulnerability Scanner Nessus wurde am 25.02.2010 ein Plugin mit der ID 44912 (USN-903-1 : openoffice.org vulnerabilities) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Ubuntu Local Security Checks zugeordnet und im Kontext local ausgeführt.
Oracles Praxis, Schwachstellen nur in grossen Patchpaketen zu schliessen, hat schon so oft für rote Köpfe gesucht. Auch in diesem Fall wird das vorliegende Patchpaket sicherlich nur in begrentem Rahmen mit offenen Armen empfangen werden. Dennoch sei Oracle Administratoren ans Herz gelegt, die entsprechenden Patches zeitnah zur Einspielung zu bringen.
CVSS
Base Score: 6.5 (CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Nessus ID: 44912
Nessus Name: USN-903-1 : openoffice.org vulnerabilities
Nessus Family: Ubuntu Local Security Checks
Nessus Context: local
Gegenmassnahmen
Empfehlung: Upgrade
Reaction Time: 18 Tage seit gemeldet
0-Day Time: 18 Tage seit gefunden
Exposure Time: 18 Tage seit bekannt
Patch: oracle.com
Timeline
20.01.2009 | CVE zugewiesen
15.07.2009 | Advisory veröffentlicht
20.07.2009 | VulDB Eintrag erstellt
02.08.2009 | Gegenmassnahme veröffentlicht
25.02.2010 | Nessus Plugin veröffentlicht
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: oracle.com
Firma: Oracle
Bestätigung: issues.apache.org
CVE: CVE-2009-0217 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 38921
SecurityFocus: 35671
SecurityTracker: 1022661
Vupen: ADV-2010-0635
