Oracle 10g DBMS_Scheduler权限提升漏洞
发布日期:2005-05-08
更新日期:2005-05-08
受影响系统:
Oracle database server 10g描述:
BUGTRAQ ID: 13509
CVE(CAN) ID: CVE-2005-1496
Oracle是一款大型商用数据库软件。
Oracle在用户访问权限的处理上存在漏洞,攻击者可能利用此漏洞提升权限。
任何拥有CREATE JOB权限的用户都可以通过dbms_scheduler执行数据库任务,从SESSION_USER切换到SYS。这可能导致VPD(虚拟专用数据库)或OLS(Oracle标记安全)问题,并可能导致权限提升。
<*来源:Alexander Kornbrust (ak@red-database-security.com)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111531740305049&w=2
*>
建议:
厂商补丁:
Oracle
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载10.0.1.4补丁集:
http://www.oracle.com
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
