CVE-2020-2515

Oracle Database Server versões 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c e 19c

O problema está relacionado a uma vulnerabilidade no componente Database Gateway for ODBC, que pode ser explorada por um invasor com privilégios limitados, mas com permissão para criar sessões e acesso à rede via OracleNet. Isso pode levar a acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis pelo Database Gateway for ODBC, bem como acesso não autorizado para leitura de um subconjunto desses dados. Além disso, pode causar uma negação de serviço parcial (DOS parcial) do Database Gateway for ODBC. A vulnerabilidade é difícil de ser explorada.

Para as versões 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c e 19c, considere restringir o acesso à rede via OracleNet para minimizar o risco de exploração.

Como solução alternativa temporária, considere desativar o privilégio “Create Session” para invasores com poucos privilégios até que um patch esteja disponível.

Restrinja o acesso ao componente Database Gateway for ODBC para minimizar o risco de acesso não autorizado aos dados e ataques de negação de serviço.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.