CVE-2020-2734

Oracle Database Server versões 12.1.0.2, 12.2.0.1, 18c e 19c

O problema está relacionado ao componente RDBMS/Optimizer do Oracle Database Server, onde uma vulnerabilidade facilmente explorável permite que um invasor com privilégios elevados, possuindo o privilégio Execute on DBMS SQLTUNE e acesso à rede via Oracle Net, comprometa o RDBMS/Optimizer. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor e podem resultar em acesso de leitura não autorizado a um subconjunto de dados acessíveis pelo RDBMS/Optimizer. A vulnerabilidade está associada a um controle de acesso inadequado.

Para as versões 12.1.0.2, 12.2.0.1, 18c e 19c, considere restringir o acesso ao privilégio DBMS SQLTUNE para minimizar o risco de exploração.

Como solução temporária, limite o acesso à rede via Oracle Net para reduzir a superfície de ataque.

Evite depender de interação humana que possa facilitar ataques bem-sucedidos e implemente medidas de segurança adicionais para proteger contra o acesso de leitura não autorizado.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.