プラットフォーム
oracle
コンポーネント
navicat-for-oracle
修正版
12.1.16
CVE-2019-25653は、Navicat for Oracle 12.1.15に存在するサービス拒否(DoS)の脆弱性です。この脆弱性を悪用すると、ローカルの攻撃者は、パスワードフィールドに非常に長い文字列を提供することで、アプリケーションをクラッシュさせることができます。Oracle接続構成中に、550文字以上の繰り返し文字をパスワードパラメータに貼り付けることで、アプリケーションのクラッシュを引き起こす可能性があります。公式な修正パッチはまだ提供されていません。
CVE-2019-25653 は、Navicat for Oracle のバージョン 12.1.15 に影響を与え、サービス拒否 (DoS) の脆弱性をもたらします。ローカルの攻撃者は、Oracle 接続設定中にパスワードフィールドに過度に長い文字列を入力することで、アプリケーションをクラッシュさせることができます。この脆弱性は、パスワード入力の長さの検証が不十分であることに起因し、バッファオーバーフローを引き起こし、プログラムを失敗させます。このタイプの攻撃は、データベース管理操作を中断し、システムの可用性に影響を与える可能性があります。影響はローカル攻撃に限定されますが、Navicat を使用しているデータベース管理者のサービス中断は重大になる可能性があります。 攻撃の成功には、Navicat が実行されているシステムへのローカルアクセスが必要です。
CVE-2019-25653 の悪用は比較的簡単です。ローカルの攻撃者は、Navicat for Oracle 12.1.15 の Oracle 接続設定中にパスワードフィールドに非常に長い文字列 (約 550 文字の繰り返し) を単にコピーして貼り付けることができます。この攻撃を実行するために、事前に認証は必要ありません。これはローカルで実行されるためです。パスワード入力の長さの検証がないことが、この脆弱性の根本原因です。攻撃者はこの脆弱性を悪用するために特別な知識を必要とせず、機会主義的な攻撃のリスクを高めます。悪用の容易さから、この脆弱性はデータベース管理者の懸念事項となっています。
エクスプロイト状況
EPSS
0.02% (3% パーセンタイル)
CISA SSVC
現在、CVE-2019-25653 の開発者からの公式な修正プログラムはありません。主な軽減策は、利用可能な場合は、この脆弱性を修正した Navicat for Oracle の最新バージョンにアップグレードすることです。その間は、Navicat が実行されているマシンへのローカルアクセスを制限し、承認されたユーザーのみにアクセスを制限することをお勧めします。多要素認証などの堅牢なセキュリティコントロールを実装することで、不正アクセスを防ぐことができます。システムの活動を監視して異常な動作を検出することも、潜在的な攻撃を検出して対応するのに役立ちます。セキュリティが最優先事項であり、短期間でアップデートが利用できない場合は、Navicat for Oracle の代替手段の使用を検討してください。
Actualizar Navicat for Oracle a una versión posterior a la 12.1.15 para corregir la vulnerabilidad de denegación de servicio. Consultar el sitio web del proveedor para obtener la última versión disponible.
脆弱性分析と重要アラートをメールでお届けします。
バージョン 12.1.15 が脆弱であることが確認されています。他の古いバージョンも脆弱である可能性があります。
いいえ、この脆弱性は Navicat が実行されているシステムへのローカルアクセスが必要です。
Navicat が実行されているマシンへのローカルアクセスを制限し、システムアクティビティを監視することは、一時的な対策です。
Navicat for Oracle バージョン 12.1.15 を使用している場合は、システムが脆弱です。
システムをネットワークから切り離し、システムアクティビティを調査し、信頼できるソースから Navicat を再インストールすることを検討してください。
CVSS ベクトル