受影响系统:
Oracle Database 9.2.0.8DV Oracle Database 9.2.0.8 Oracle Database 10.2.0.4 Oracle Database 10.1.0.5
描述:
Oracle Database是一款商业性质大型数据库系统。
Oracle数据库Text组件的ctxsys.drvxtabc.create_tables过程会取3个参数:
idx_owner - varchar2
idx_name - varchar2
idxid - number
其中idx_owner和idx_name参数可能导致SQL注入攻击。拥有CTXSYS.DRVXTABC执行权限的攻击者可以通过Oracle Net协议提交特制查询请求来利用这个漏洞,导致完全入侵数据库系统。
测试方法:
--------------------------------------------------------------------------------
警告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
exec ctxsys.drvxtabc.create_tables('SH"."SH2KERR" (X NUMBER)--','yyyyyyyyy',2);
建议:
--------------------------------------------------------------------------------
厂商补丁:
Oracle
------
Oracle已经为此发布了一个安全公告(cpuoct2009)以及相应补丁:
cpuoct2009:Oracle Critical Patch Update Advisory - October 2009
链接:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2009.html