受影響系統(tǒng):
Oracle Oracle10g 10.2.0.2.0
描述:
BUGTRAQ ID: 17699
Oracle是一款大型的商業(yè)數(shù)據(jù)庫系統(tǒng)。
Oracle 10g中由SYS用戶運(yùn)行的DBMS_EXPORT_EXTENSION存儲(chǔ)過程存在PL/SQL注入漏洞,允許低權(quán)限用戶以DBA權(quán)限執(zhí)行任意SQL代碼。
Oracle聲稱已在2006年4月的緊急補(bǔ)丁更新中修復(fù)了這個(gè)漏洞,但實(shí)際上并未修復(fù)。
建議:
臨時(shí)解決方法:
如果您不能立刻安裝補(bǔ)丁或者升級(jí),NSFOCUS建議您采取以下措施以降低威脅:
* 刪除DBMS_EXPORT_EXTENSION的PUBLIC執(zhí)行權(quán)限。
廠商補(bǔ)丁:
Oracle
目前廠商還沒有提供補(bǔ)丁或者升級(jí)程序,我們建議使用此軟件的用戶隨時(shí)關(guān)注廠商的主頁以獲取最新版本:
http://www.oracle.com
