प्लेटफ़ॉर्म
oracle
घटक
navicat-for-oracle
में ठीक किया गया
12.1.16
CVE-2019-25653, Navicat for Oracle 12.1.15 में एक Denial of Service (DoS) भेद्यता है। यह भेद्यता स्थानीय हमलावरों को पासवर्ड फ़ील्ड में अत्यधिक लंबी स्ट्रिंग प्रदान करके एप्लिकेशन को क्रैश करने की अनुमति देती है। Oracle कनेक्शन कॉन्फ़िगरेशन के दौरान पासवर्ड पैरामीटर में 550 दोहराए गए वर्णों का एक बफर पेस्ट करके हमलावर एप्लिकेशन क्रैश को ट्रिगर कर सकते हैं। इस भेद्यता के लिए कोई आधिकारिक पैच अभी तक उपलब्ध नहीं है।
CVE-2019-25653 Navicat for Oracle के संस्करण 12.1.15 को प्रभावित करता है, जिससे एक डिनायल-ऑफ-सर्विस (DoS) भेद्यता उत्पन्न होती है। एक स्थानीय हमलावर Oracle कनेक्शन कॉन्फ़िगरेशन के दौरान पासवर्ड फ़ील्ड में अत्यधिक लंबी स्ट्रिंग प्रदान करके एप्लिकेशन को क्रैश कर सकता है। यह भेद्यता पासवर्ड इनपुट की लंबाई के अपर्याप्त सत्यापन के कारण होती है, जिससे बफर ओवरफ्लो हो सकता है, जिससे प्रोग्राम विफल हो जाता है। इस प्रकार का हमला डेटाबेस प्रबंधन कार्यों को बाधित कर सकता है और सिस्टम की उपलब्धता को प्रभावित कर सकता है। हालांकि प्रभाव स्थानीय हमले तक सीमित है, लेकिन Navicat का उपयोग करने वाले डेटाबेस प्रशासकों के लिए सेवा में व्यवधान महत्वपूर्ण हो सकता है। सफल शोषण के लिए Navicat के चलने वाले सिस्टम तक स्थानीय पहुंच की आवश्यकता होती है।
CVE-2019-25653 का शोषण करना अपेक्षाकृत आसान है। एक स्थानीय हमलावर Navicat for Oracle 12.1.15 में Oracle कनेक्शन कॉन्फ़िगरेशन के दौरान पासवर्ड फ़ील्ड में बस एक बहुत लंबी स्ट्रिंग (लगभग 550 दोहराए गए वर्ण) को कॉपी और पेस्ट कर सकता है। इस हमले को करने के लिए किसी पूर्व प्रमाणीकरण की आवश्यकता नहीं है, क्योंकि यह स्थानीय रूप से चलता है। पासवर्ड इनपुट की लंबाई का सत्यापन न होना इस भेद्यता का मूल कारण है। हमलावर को इस भेद्यता का शोषण करने के लिए किसी विशेष ज्ञान की आवश्यकता नहीं होती है, जिससे अवसरवादी हमलों का खतरा बढ़ जाता है। शोषण में आसानी इस भेद्यता को डेटाबेस प्रशासकों के लिए चिंता का विषय बनाती है।
एक्सप्लॉइट स्थिति
EPSS
0.02% (3% शतमक)
CISA SSVC
CVSS वेक्टर
वर्तमान में, CVE-2019-25653 के लिए डेवलपर से कोई आधिकारिक फिक्स उपलब्ध नहीं है। प्राथमिक शमन उपाय Navicat for Oracle के नवीनतम संस्करण में अपग्रेड करना है जो इस भेद्यता को संबोधित करता है, यदि उपलब्ध हो। इस बीच, Navicat के चलने वाले मशीन तक स्थानीय पहुंच को प्रतिबंधित करने और केवल अधिकृत उपयोगकर्ताओं को पहुंच की अनुमति देने की अनुशंसा की जाती है। मजबूत सुरक्षा नियंत्रणों को लागू करना, जैसे कि बहु-कारक प्रमाणीकरण, अनधिकृत पहुंच को रोकने में मदद कर सकता है। असामान्य व्यवहार के लिए सिस्टम गतिविधि की निगरानी भी संभावित हमलों का पता लगाने और उनका जवाब देने में मदद कर सकती है। यदि सुरक्षा एक प्राथमिक चिंता है और अल्पकालिक में कोई अपडेट उपलब्ध नहीं है, तो Navicat for Oracle के विकल्पों पर विचार करें।
Actualizar Navicat for Oracle a una versión posterior a la 12.1.15 para corregir la vulnerabilidad de denegación de servicio. Consultar el sitio web del proveedor para obtener la última versión disponible.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
संस्करण 12.1.15 वह संस्करण है जिसे भेद्यता की पुष्टि की गई है। अन्य पुराने संस्करण भी असुरक्षित हो सकते हैं।
नहीं, इस भेद्यता के लिए Navicat के चलने वाले सिस्टम तक स्थानीय पहुंच की आवश्यकता होती है।
Navicat के चलने वाले मशीन तक स्थानीय पहुंच को प्रतिबंधित करना और सिस्टम गतिविधि की निगरानी करना अस्थायी उपाय हैं।
यदि आप Navicat for Oracle संस्करण 12.1.15 का उपयोग कर रहे हैं, तो आपका सिस्टम कमजोर है।
अपने सिस्टम को नेटवर्क से डिस्कनेक्ट करें, सिस्टम गतिविधि की जांच करें और विश्वसनीय स्रोत से Navicat को फिर से स्थापित करने पर विचार करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।