当前位置: 安全纵横 > 安全公告

Oracle视图对象任意删除数据漏洞

名称: Oracle视图对象任意删除数据漏洞 [DB17]

涉及系统:Oracle 8i - 10g Rel. 2

安全级别: 高风险

类型:越权访问

厂商URL :www.oracle.com

发现者 :Alexander Kornbrust

公告时间:17 July 2007 (V 1.00)

细节: 攻击者通过构造畸形的视图对象(View)可以获取Updates,deletes和inserts 权限对数据库进行越权访问。

测试代码:

delete from (specially crafted view)

insert into (specially crafted view)

update (specially crafted view)

实际案例将会在我们确定该漏洞真正修补后公布。

 

补丁信息:安装0racle2007年7月份补丁修复该漏洞。

历史

24-oct-2006 Oracle 安全部门注意到该漏洞

25-oct-2006 漏洞证实

18-jul-2007 Oracle公布2007年7月份补丁修复该漏洞

18-jul-2007 发布公告