Oracle數據庫軟件包遠程溢出漏洞

2024-08-29 13:52:00

字體：大中小

來源：轉載

供稿：網友

受影響系統：
Oracle database server 9iR2
Oracle database server 9iR1
Oracle database server 8iR3
Oracle database server 10gR1

描述：

BUGTRAQ ID: 26243

Oracle是一款大型的商用數據庫系統。

Oracle捆綁的MDSYS.SDO_CS軟件包實現上存在緩沖區溢出漏洞，遠程攻擊者可能利用此漏洞控制服務器。

Oracle數據庫服務器捆綁的MDSYS.SDO_CS軟件包提供用于系統協作的子程序，該軟件包中的TRANSFORM函數存在緩沖區溢出漏洞。假如遠程攻擊者向該函數提交了惡意請求的話，就可能觸發這個溢出，導致拒絕服務或執行任意指令。默認下MDSYS.SDO_CS對PUBLIC開放EXECUTE權限，因此任何Oracle用戶都可以觸發這個漏洞。

建議：

臨時解決方法：

* 限制對MDSYS.SDO_CS的訪問。

廠商補丁：

Oracle已經為此發布了一個安全公告（cpuoct2007）以及相應補丁:
cpuoct2007：Oracle Critical Patch Update - October 2007
鏈接：http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2007.Html?_template=/o

上一篇：快速理解Oracle歸檔模式的命令及參數

下一篇：Oracle非法數據庫對象引起的錯誤