CNETNews 政府采购 网站联盟

您的位置:软件首页 / 数据库 / [Oracle]10g存储过程远程SQL注入漏洞

[Oracle]10g存储过程远程SQL注入漏洞

ZDNet 软件频道 更新时间:2007-10-21 作者:unknown 来源:绿盟科技

本文关键词:漏洞 SQL 数据库 Oracle

受影响系统:

  Oracle Oracle10g 10.2.0.2.0

  描述:

  BUGTRAQ ID: 17699

  Oracle是一款大型的商业数据库系统。

  Oracle 10g中由SYS用户运行的DBMS_EXPORT_EXTENSION存储过程存在PL/SQL注入漏洞,允许低权限用户以DBA权限执行任意SQL代码。

  Oracle声称已在2006年4月的紧急补丁更新中修复了这个漏洞,但实际上并未修复。

  <*来源:David Litchfield (david@nextgenss.com)

   链接:http://marc.theaimsgroup.com/?l=bugtraq&m=114606418904385&w=2

   http://marc.theaimsgroup.com/?l=bugtraq&m=114546055109559&w=2

   http://www.us-cert.gov/cas/techalerts/TA06-109A.html

   http://www.oracle.com/technology/deploy/security/pdf/cpuapr2006.html?_template=/ocom/technology/cont

  *>

  建议:

  临时解决方法:

  如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

  * 删除DBMS_EXPORT_EXTENSION的PUBLIC执行权限。

  厂商补丁:

  Oracle

  目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

  http://www.oracle.com
[an error occurred while processing this directive]
产品关注
Oracle 10g RAC

Oracle 10g RAC

参数 方案/案例 文章/新闻 技巧

更多相关产品:

Oracle 11g Express Edition

参数 方案/案例 文章/新闻 技巧

Oracle 11g Standard Edition

参数 方案/案例 文章/新闻 技巧

Oracle 11g Standard Edition One

参数 方案/案例 文章/新闻 技巧

Oracle 11g Enterprise Edition

参数 方案/案例 文章/新闻 技巧

软件频道 漏洞 最新报道

软件频道 SQL 最新报道

软件频道 数据库 最新报道

软件频道 Oracle 最新报道

爱卡汽车网 | CNET科技资讯网 | CWEEK | 蜂鸟网 | GameSpot China | 个人电脑 | 开发者在线 | PChome | Solidot | SPN |
投影顾问网 | 万维家电网 | 网友世界 | 西域IT | ZDNet China | 中关村在线 | 中小企业成长网
CNET Networks
Copyright © 1997-2007 CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号