[转载]Oracle数据库SYS.DBMS_UPGRADE软件包SQL注入漏洞
信息来源:绿盟科技发布日期:2006-07-18
更新日期:2006-07-19
受影响系统:
Oracle Database 10g Release 1
描述:
--------------------------------------------------------------------------------
Oracle是一款大型的商业数据库系统。
Oracle 10g的SYS.DBMS_UPGRADE软件包存在SQL注入漏洞,成功利用这个漏洞的攻击者可以完全控制数据库系统。
如果要利用这个漏洞,攻击者必须能够创建PL/SQL函数。
<*来源:Alexander Kornbrust ([email]ak@red-database-security.com[/email])
链接:[url]http://marc.theaimsgroup.com/?l=bugtraq&m=115326655012756&w=2[/url]
[url]http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2006.html?_template=/o[/url]
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Oracle
------
Oracle已经为此发布了一个安全公告(cpujul2006)以及相应补丁:
cpujul2006:Oracle Critical Patch Update - July 2006
链接:[url]http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2006.html?_template=/o[/url]
页:
[1]