安全研究
安全漏洞
安全漏洞
所有系统
AIX
BSD(eg,OpenBSD)
Digital Unix
HP-UX
IRIX
Linux
FreeBSD
SCO UNIX
SunOS
Solaris
Windows
所有类型
远程进入系统
本地越权访问
拒绝服务攻击
嵌入恶意代码
Web数据接口
其他类型
Oracle CTX_DOC软件包多个SQL注入漏洞
发布日期:
2007-10-17
更新日期:
2007-10-18
受影响系统:
Oracle Oracle10g Release 2
Oracle Oracle10g Release 1
描述:
BUGTRAQ ID:
26101
CVE ID:
CVE-2007-5508
Oracle Database是一款商业性质大型数据库系统。
Oracle 10g中的Intermedia应用的多个过程实现上存在SQL注入漏洞,远程攻击者可能利用此漏洞非授权访问数据库。
Oracle 10g中的Intermedia应用包含有名为CTX_DOC的软件包,该软件包中的THEMES、GIST、TOKENS、FILTER、HIGHLIGHT和MARKUP过程没有正确地验证SQL查询中的用户输入,允许数据库用户执行SQL注入攻击。如果通过Oracle应用服务器攻击的话则无须用户ID和口令就可以利用这个漏洞。
<*来源:David Litchfield
链接:
http://marc.info/?l=bugtraq&m=119263622522502&w=2
http://secunia.com/advisories/23794
http://www.us-cert.gov/cas/techalerts/TA07-290A.html
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2007.html
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://www.milw0rm.com/exploits/4564
建议:
厂商补丁:
Oracle
------
Oracle已经为此发布了一个安全公告(cpuoct2007)以及相应补丁:
cpuoct2007:Oracle Critical Patch Update - October 2007
链接:
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2007.html?_template=/o
浏览次数:
3407
严重程度:
0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障
关于我们
公司介绍
公司荣誉
公司新闻
联系我们
公司总部
分支机构
海外机构
快速链接
绿盟云
绿盟威胁情报中心NTI
技术博客
