Vigil@nce : PL/SQL Developer, élévation de privilèges
septembre 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Dans certains cas, PL/SQL Developer ne gère pas correctement un
privilège Oracle, ce qui peut permettre à un attaquant d’obtenir
ce privilège.
– Gravité : 2/4
– Date création : 05/09/2011
PRODUITS CONCERNÉS
– Allround Automations PL/SQL Developer
DESCRIPTION DE LA VULNÉRABILITÉ
Une base de données Oracle permet d’affecter des privilèges
d’administration à un utilisateur :
– Grant Any Object Privilege
– Grant Any Role
– Administer Resource Manager
– etc.
Dans certains cas, PL/SQL Developer n’accorde pas ou ne révoque
pas correctement le privilège Administer Resource Manager. Les
détails technique ne sont pas connus.
Une application peut donc disposer de privilèges plus élevés que
prévu, ce qui peut permettre à un attaquant d’obtenir ce privilège.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/PL-SQL-Developer-elevation-de-privileges-10969