CVE-2020-2517

Oracle Database Server versões 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c e 19c

A vulnerabilidade está relacionada a um controle de acesso inadequado no componente Database Gateway for ODBC do Oracle Database Server. A exploração dessa vulnerabilidade pode permitir que um invasor remoto modifique, adicione ou exclua dados, ou cause uma negação parcial de serviço usando o protocolo de rede OracleNet. O invasor deve possuir privilégios elevados, incluindo privilégios de Criação de Procedimento e Criação de Link de Banco de Dados, bem como acesso à rede via OracleNet. Ataques bem-sucedidos podem resultar em acesso não autorizado a alguns dados e negação parcial de serviço.

Para as versões 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c e 19c, considere restringir o acesso ao componente Database Gateway for ODBC até que um patch esteja disponível.

Como solução alternativa temporária, limite os privilégios dos usuários com privilégios de “Create Procedure” e “Create Database Link” para minimizar o risco de exploração.

Restrinja o acesso à rede via OracleNet ao componente Database Gateway for ODBC para reduzir a superfície de ataque.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.