Oracle E-Business Suite环境可能会易受群体,因为Sys.Dual表授予公共表。 此安全问题已在2015年1月Oracle关键补丁更新(CPU)中得到解决,已分配CVE跟踪标识符CVE-2015-0393。 问题可能会影响所有Oracle E-Business Suite版本,包括11.5,12.0,12.1和12.2。 最近的新闻报告将此漏洞标记为“主要的错误配置漏洞”。 安全问题实际上比在媒体中报告的索引权限更广泛,并且可能至少有四个独立攻击向量,具体取决于授予的权限。

Integy估算不到所有Oracle E-Business Suite环境的10%易受这种安全问题的影响 根据我们以前对生产环境的评估。 自2007年以来,Integigy一直在跟踪此问题并在Oracle E-Business Suite环境中检查它 - 我们只确定了在我们评估的一小部分中发现了问题。 易受攻击的环境包括11.5.10.2,12.0.x和12.1.3以及大多数Oracle E-Business Suite Vision演示环境。 最有可能的是,在维护操作期间,问题被引入环境中,因为它在Oracle E-Business Suite的新安装中未找到。 请参阅本文档的背景部分更多信息。

通过(1)应用2015年1月CPU补丁或(2)手动撤销授权,通过撤消来自Sys.Dual表的过度权限来解决此安全问题。

重要说明:在应用2015年1月CPU补丁或手动撤销授权之前,必须应用数据库补丁19393542以防止可能的时间戳损坏。

Integigy已发布有关如何验证的详细信息,如果环境和修复说明存在此漏洞。

标签: 
漏洞, Oracle E-Business Suite, 安全分析