Oracle数据库不安全过程调用远程命令执行漏洞

受影响系统:

Oracle Database 11g R2

描述:


BUGTRAQ  ID: 38115

Oracle是大型的商业数据库系统。

由于没有正确地限制对DBMS_JVM_EXP_PERMS软件包中过程的访问,远程用户可以通过IMPORT_JVM_PERMS过程修改Java策略表,导致执行任意操作系统命令。此外由于没有正确地处理传送给DBMS_JAVA.SET_OUTPUT_TO_JAVA过程的参数,远程用户可以以SYS用户权限执行任意SQL命令。

<*来源:David Litchfield (david@nextgenss.com
  
  链接:http://secunia.com/advisories/38353/
        http://www.h-online.com/security/news/item/Vulnerability-in-Oracle-11gR2-allows-system-privileges-for-all-Update-923143.html?view=print
*>

建议:


厂商补丁:

Oracle
——
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.oracle.com

发表评论?

0 条评论。

发表评论