Множественные PL/SQL-инъекции в Oracle

Дата публикации:
27.12.2004
Дата изменения:
17.10.2006
Всего просмотров:
1044
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Oracle 10g/9i

Описание:
Обнаружено множество SQL-инъекций в процедурах. Атакующий может повысить свои привилегии в БД.

Удаленный атакующий может использовать SQL-инъекцию в процедурах, чтобы повысить свои привилегии на системе. Уязвимые процедуры:

SYS DBMS_EXPORT_EXTENSION
WKSYS WK_ACL.GET_ACL
WKSYS WK_ACL.STORE_ACL
WKSYS WK_ADM.COMPLETE_ACL_SNAPSHOT
WKSYS WK_ACL.DELETE_ACLS_WITH_STATEMENT
CTXSYS DRILOAD.VALIDATE_STMT

Каждая из этих процедур может быть эксплуатирована с целью получения привилегий DBA.

URL производителя: www.oracle.com

Решение: Установите обновление с сайта:
http://metalink.oracle.com

Ссылки: Oracle 10g/9i Multiple PL/SQL injection vulnerabilities

или введите имя

CAPTCHA