Oracle 10g存储过程远程SQL注入漏洞

Oracle 10g存储过程远程SQL注入漏洞 　　受影响系统： 

　　Oracle Oracle10g 10.2.0.2.0 

　　描述： 

　　BUGTRAQ ID: 17699 

　　Oracle是一款大型的商业数据库系统。 

　　Oracle 10g中由SYS用户运行的DBMS_EXPORT_EXTENSION存储过程存在PL/SQL注入漏洞，允许低权限用户以DBA权限执行任意SQL代码。 

　　Oracle声称已在2006年4月的紧急补丁更新中修复了这个漏洞，但实际上并未修复。 

　　<*来源：David Litchfield （david@nextgenss.com） 

　　 链接：http://marc.theaimsgroup.com/?l=bugtraq&m=114606418904385&w=2 

　　 http://marc.theaimsgroup.com/?l=bugtraq&m=114546055109559&w=2 

　　 http://www.us-cert.gov/cas/techalerts/TA06-109A.html 

　　 http://www.oracle.com/technology/deploy/security/pdf/cpuapr2006.html?_template=/ocom/technology/cont 

　　*> 

　　建议： 

　　临时解决方法： 

　　如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁： 

　　* 删除DBMS_EXPORT_EXTENSION的PUBLIC执行权限。 

　　厂商补丁： 

　　Oracle 

　　目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： 

　　http://www.oracle.com