CVE-2021-2245

Oracle Database - Enterprise Edition Unified Audit, versões 18c a 19c

O problema está relacionado a restrições de acesso inadequadas no componente Oracle Database - Enterprise Edition Unified Audit do Oracle Database Server. A exploração dessa vulnerabilidade pode permitir que um invasor remoto modifique, adicione ou exclua dados usando o protocolo Oracle Net. O invasor deve ter o privilégio Create Audit Policy e acesso à rede via Oracle Net para comprometer o Oracle Database - Enterprise Edition Unified Audit. Ataques bem-sucedidos podem resultar em acesso não autorizado a alguns dos dados acessíveis do Oracle Database - Enterprise Edition Unified Audit.

Para as versões 18c e 19c, considere restringir o acesso ao protocolo Oracle Net para minimizar o risco de exploração até que uma correção esteja disponível.

Como solução alternativa temporária, revise e limite o privilégio Create Audit Policy apenas aos usuários necessários para reduzir a superfície de ataque.

Evite usar o protocolo Oracle Net para operações confidenciais até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.