发布日期：2010-02-05
更新日期：2010-02-09

受影响系统：

Oracle Database 11g R2

描述：

---

BUGTRAQ  ID: 38115

Oracle是大型的商业数据库系统。

由于没有正确地限制对DBMS_JVM_EXP_PERMS软件包中过程的访问，远程用户可以通过IMPORT_JVM_PERMS过程修改Java策略表，导致执行任意操作系统命令。此外由于没有正确地处理传送给DBMS_JAVA.SET_OUTPUT_TO_JAVA过程的参数，远程用户可以以SYS用户权限执行任意SQL命令。

<*来源：David Litchfield （david@nextgenss.com）
  
  链接：http://secunia.com/advisories/38353/
        http://www.h-online.com/security/news/item/Vulnerability-in-Oracle-11gR2-allows-system-privileges-for-all-Update-923143.html?view=print
*>

建议：

---

厂商补丁：

Oracle
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.oracle.com

浏览次数：3964
严重程度：0（网友投票）