Platform
oracle
Component
navicat-for-oracle
Opgelost in
12.1.16
CVE-2019-25653 is een Denial of Service (DoS) kwetsbaarheid in Navicat for Oracle. Een aanvaller kan de applicatie laten crashen door een extreem lange string in het wachtwoordveld te plaatsen tijdens de Oracle verbindingsconfiguratie. Deze kwetsbaarheid treft versie 12.1.15. Er is momenteel geen officiële patch beschikbaar om dit probleem te verhelpen.
CVE-2019-25653 treft Navicat for Oracle versie 12.1.15 en introduceert een denial-of-service (DoS) kwetsbaarheid. Een lokale aanvaller kan de applicatie laten crashen door een overmatig lange string in het wachtwoordveld in te voeren tijdens de configuratie van een Oracle-verbinding. De kwetsbaarheid ontstaat door een onvoldoende validatie van de lengte van de wachtwoordinvoer, waardoor een buffer overflow kan leiden tot het falen van het programma. Dit type aanval kan databasebeheeroperaties verstoren en de beschikbaarheid van het systeem beïnvloeden. Hoewel de impact beperkt is tot een lokale aanval, kan de service-onderbreking aanzienlijk zijn voor databasebeheerders die Navicat gebruiken. Een succesvolle exploitatie vereist lokale toegang tot het systeem waarop Navicat draait.
Het exploiteren van CVE-2019-25653 is relatief eenvoudig. Een lokale aanvaller kan eenvoudig een zeer lange string (ongeveer 550 herhaalde tekens) kopiëren en plakken in het wachtwoordveld tijdens de configuratie van een Oracle-verbinding in Navicat for Oracle 12.1.15. Er is geen voorafgaande authenticatie vereist om deze aanval uit te voeren, omdat deze lokaal wordt uitgevoerd. Het ontbreken van validatie van de lengte van de wachtwoordinvoer is de hoofdoorzaak van de kwetsbaarheid. De aanvaller heeft geen gespecialiseerde kennis nodig om deze kwetsbaarheid te exploiteren, wat het risico op opportunistische aanvallen vergroot. De eenvoud van de exploitatie maakt deze kwetsbaarheid een zorg voor databasebeheerders.
Exploit Status
EPSS
0.02% (3% percentiel)
CISA SSVC
CVSS-vector
Momenteel is er geen officiële fix van de ontwikkelaar voor CVE-2019-25653. De primaire mitigatie is om te upgraden naar een nieuwere versie van Navicat for Oracle die deze kwetsbaarheid aanpakt, indien beschikbaar. In de tussentijd wordt aanbevolen om de lokale toegang tot de machine waarop Navicat draait te beperken, en de toegang te beperken tot geautoriseerde gebruikers. Het implementeren van robuuste beveiligingscontroles, zoals multi-factor authenticatie, kan helpen om ongeautoriseerde toegang te voorkomen. Het monitoren van systeemactiviteit op ongebruikelijk gedrag kan ook helpen bij het detecteren en reageren op potentiële aanvallen. Overweeg alternatieven voor Navicat for Oracle te gebruiken als beveiliging een primaire zorg is en er geen update beschikbaar is op korte termijn.
Actualizar Navicat for Oracle a una versión posterior a la 12.1.15 para corregir la vulnerabilidad de denegación de servicio. Consultar el sitio web del proveedor para obtener la última versión disponible.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Versie 12.1.15 is de bevestigde getroffen versie. Andere oudere versies kunnen ook kwetsbaar zijn.
Nee, deze kwetsbaarheid vereist lokale toegang tot het systeem waarop Navicat draait.
Het beperken van de lokale toegang tot de machine waarop Navicat draait en het monitoren van systeemactiviteit zijn tijdelijke maatregelen.
Als u Navicat for Oracle versie 12.1.15 gebruikt, is uw systeem kwetsbaar.
Koppel het systeem los van het netwerk, onderzoek de systeemactiviteit en overweeg om Navicat opnieuw te installeren vanuit een vertrouwde bron.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.