10g DBMS_Scheduler本地特權提升漏洞

2024-07-21 02:38:28

字體：大中小

來源：轉載

供稿：網友

　　BUGTRAQ ID:13509
　　
　　CNCAN ID:CNCAN-2005050808
　　
　　漏洞消息時間:2005-05-05
　　
　　漏洞起因:設計錯誤
　　
　　危害：本地攻擊者可利用這個漏洞提升權限。
　　
　　攻擊所需條件：攻擊者必須訪問Oracle database系統。
　　
　　影響系統
　　
　　· Oracle Oracle10g application Server 10.1 .0.3.1
　　· Oracle Oracle10g Application Server 10.1 .0.3
　　· Oracle Oracle10g Application Server 10.1 .0.2
　　· Oracle Oracle10g EnterPRise Edition 10.1 .0.3.1
　　
　　不受影響系統
　　
　　· Oracle Oracle10g Application Server 10.1 .0.4
　　· Oracle Oracle10g Enterprise Edition 10.1 .0.4
　　· Oracle Oracle10g Personal Edition 10.1 .0.4
　　· Oracle Oracle10g Standard Edition 10.1 .0.4
　　
　　漏洞信息
　　
　　Oracle database是一款大型的商業數據庫系統。
　　
　　Oracle database存在一個安全問題，本地攻擊者可以利用此漏洞提升特權。
　　
　　任何擁有CREATE JOB權限可通過dbms_scheduler執行一個數據庫作業而轉換session_USER到SYS，本地攻擊者可以利用此漏洞提升權限。
　　
　　廠商解決方案
　　
　　Oracle 10.0.1.4 patch集修正了此漏洞：http://www.oracle.com/index.Html
　　
　　漏洞提供者：Red-Database-Security GmbH
　　
　　漏洞消息鏈接：http://www.red-database-security.com/eXPloits/oracle_exploit_dbms_scheduler_select_user.html
　　
　　漏洞消息標題：DBMS_SCHEDULER SESSION_USER issue in Oracle 10g

上一篇：甲骨文進行緊急升級共發布33個補丁

下一篇：開源之旅——數據庫篇(圖)