10g DBMS_Scheduler本地特权提升漏洞

王朝other·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

BUGTRAQ ID:13509

CNCAN ID:CNCAN-2005050808

漏洞消息时间:2005-05-05

漏洞起因:设计错误

危害:本地攻击者可利用这个漏洞提升权限。

攻击所需条件:攻击者必须访问Oracle database系统。

影响系统

· Oracle Oracle10g Application Server 10.1 .0.3.1

· Oracle Oracle10g Application Server 10.1 .0.3

· Oracle Oracle10g Application Server 10.1 .0.2

· Oracle Oracle10g Enterprise Edition 10.1 .0.3.1

不受影响系统

· Oracle Oracle10g Application Server 10.1 .0.4

· Oracle Oracle10g Enterprise Edition 10.1 .0.4

· Oracle Oracle10g Personal Edition 10.1 .0.4

· Oracle Oracle10g Standard Edition 10.1 .0.4

漏洞信息

Oracle database是一款大型的商业数据库系统。

Oracle database存在一个安全问题,本地攻击者可以利用此漏洞提升特权。

任何拥有CREATE JOB权限可通过dbms_scheduler执行一个数据库作业而转换SESSION_USER到SYS,本地攻击者可以利用此漏洞提升权限。

厂商解决方案

Oracle 10.0.1.4 patch集修正了此漏洞:http://www.oracle.com/index.Html

漏洞提供者:Red-Database-Security GmbH

漏洞消息链接:http://www.red-database-security.com/eXPloits/oracle_exploit_dbms_scheduler_select_user.html

漏洞消息标题:DBMS_SCHEDULER SESSION_USER issue in Oracle 10g

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航