发布日期：2009-10-15
更新日期：2009-10-22

受影响系统：

Oracle Database 9.2.0.8DV
Oracle Database 9.2.0.8
Oracle Database 11.1.0.7    
Oracle Database 10.2.0.4
Oracle Database 10.2.0.3
Oracle Database 10.1.0.5

描述：

---

BUGTRAQ  ID: 36760,36765,36758,36754,36750,36759,36756,36755,36747,36748,36752,36751,36745,36744,36742,36743
CVE(CAN) ID: CVE-2009-1007,CVE-2009-1018,CVE-2009-1964,CVE-2009-1965,CVE-2009-1971,CVE-2009-1972,CVE-2009-1979,CVE-2009-1985,CVE-2009-1991,CVE-2009-1992,CVE-2009-1993,CVE-2009-1994,CVE-2009-1995,CVE-2009-1997,CVE-2009-2000,CVE-2009-2001

Oracle Database是一款商业性质大型数据库系统。

Oracle发布了2009年10月的紧急补丁更新公告，修复了多个Oracle Database产品中的多个漏洞。这些漏洞影响Oracle产品的所有安全属性，可导致本地和远程的威胁。其中一些漏洞可能需要各种级别的授权，但也有些不需要任何授权。最严重的漏洞可能导致完全入侵数据库系统。

1) 运行在Windows平台上的Core RDBMS组件中的漏洞可能导致执行任意代码。

2) Network Authentication组件中的多个漏洞可能导致执行任意代码。

3) Data Mining组件中的漏洞可能允许通过认证的用户泄露或操控某些数据。成功利用这个漏洞要求拥有对SYS.DMP_SYS的执行权限。

4) Oracle Spatial组件中的漏洞可能允许通过认证的用户泄露或操控某些数据。成功利用这个漏洞要求拥有对MDSYS.PRVT_CMT_CBK的执行权限。

5) PL/SQL组件中的漏洞可能允许通过认证的用户泄露或操控某些数据。成功利用这个漏洞要求拥有Create Procedure权限。

6) Application Express组件中的漏洞可能允许通过认证的用户泄露或操控某些数据。成功利用这个漏洞要求拥有对FLOWS_030000.WWV_EXECUTE_IMMEDIATE的执行权限。

7) Workspace Manager组件中的漏洞可能允许通过认证的用户泄露或操控某些数据。成功利用这个漏洞要求拥有对SYS.LTRIC（WMSYS.LTRIC）的执行权限。

8) Workspace Manager组件中的漏洞可能允许通过认证的用户泄露或操控某些数据。成功利用这个漏洞要求拥有Create Session权限。

9) Windows平台上Net Foundation Layer组件中的漏洞可能导致泄漏或操控某些数据。

10) Authentication组件中的多个漏洞可能导致泄漏敏感数据。

11) Advanced Queuing组件中的漏洞可能允许通过认证的用户泄露或操控某些数据。成功利用这个漏洞要求拥有对SYS.DBMS_AQ_INV的执行权限。

12) Oracle Text组件中的漏洞可能允许通过认证的用户泄露或操控某些数据。成功利用这个漏洞要求拥有对CTXSYS.DRVXTABC的执行权限。

13) Data Pump组件中的漏洞可能允许通过认证的用户泄露或操控某些数据。成功利用这个漏洞要求拥有Create Session权限。

14) Auditing组件中的漏洞可能允许通过认证的用户操控某些数据。成功利用这个漏洞要求拥有对DBMS_SYS_SQL和DBMS_SQL的执行权限。

<*来源：Yaniv Azaria
        Cesar Cerrudo （cesarc56@yahoo.com）
        Deniz CEVIK （Deniz.Cevik@intellect.com.tr）
        Joxean Koret （joxeankoret@yahoo.es）
        Alexander Kornbrust （ak@red-database-security.com）
  
  链接：http://secunia.com/advisories/37027/
        http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2009.html
        http://www.us-cert.gov/cas/techalerts/TA09-294A.html
*>

建议：

---

厂商补丁：

Oracle
------
Oracle已经为此发布了一个安全公告（cpuoct2009）以及相应补丁:
cpuoct2009：Oracle Critical Patch Update Advisory - October 2009
链接：http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2009.html

浏览次数：3158
严重程度：0（网友投票）