Oracle数据库Text组件SQL注入漏洞Oracle认证考试

文章作者 100test 发表时间 2009:11:11 16:39:26
来源 100Test.Com百考试题网

"mkhgigh"> 　　受影响系统：
　　Oracle Database 9.2.0.8DV Oracle Database 9.2.0.8 Oracle Database 10.2.0.4 Oracle Database 10.1.0.5
　　描述：
　　Oracle Database是一款商业性质大型数据库系统。
　　Oracle数据库Text组件的ctxsys.drvxtabc.create_tables过程会取3个参数：
　　idx_owner - varchar2
　　idx_name - varchar2
　　idxid - number
　　其中idx_owner和idx_name参数可能导致SQL注入攻击。拥有CTXSYS.DRVXTABC执行权限的攻击者可以通过Oracle Net协议提交特制查询请求来利用这个漏洞，导致完全入侵数据库系统。来源：www.examda.com
　　测试方法：
　　--------------------------------------------------------------------------------
　　警告
　　以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！
　　exec ctxsys.drvxtabc.create_tables(’SH"."SH2KERR" (X NUMBER)--’,’yyyyyyyyy’,2).
　　建议：
　　--------------------------------------------------------------------------------
　　厂商补丁：
　　Oracle
　　------
　　Oracle已经为此发布了一个安全公告（cpuoct2009）以及相应补丁:
　　cpuoct2009：Oracle Critical Patch Update Advisory - October 2009

　　编辑特别推荐:

　　oracle认证考试费用

　　Oracle的入门心得

　　使用Oracle外部表的五个限制

　　Oracle服务器参数文件维护的四个技巧