Oracle DBMS_CDC_SUBSCRIBE和DBMS_CDC_ISUBSCRIBE软件包多个SQL注入漏洞

漏洞信息详情

Oracle DBMS_CDC_SUBSCRIBE和DBMS_CDC_ISUBSCRIBE软件包多个SQL注入漏洞

• CNNVD编号：CNNVD-200512-891
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2005-4832
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2005-04-19
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-03-08
  
• 厂        商：
  
  oracle
• 漏洞来源：
  Team SHATTER shat…

Oracle Database是一款商业性质大型数据库系统。

SYS.DBMS_CDC_SUBSCRIBE和SYS.DBMS_CDC_ISUBSCRIBE软件包各种过程中所使用的SUBSCRIPTION_NAME参数存在SQL注入漏洞。拥有创建或修改函数权限的用户可以向有漏洞的过程注入用户定义的函数，这样就可以以DBA权限执行SQL语句。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://metalink.oracle.com/

来源: www.oracle.com/technology

链接:http://www.oracle.com/technology/deploy/security/pdf/cpuapr2005.pdf

来源: XF

名称: oracle-subscriptionname-sql-injection(20159)

链接:http://xforce.iss.net/xforce/xfdb/20159

来源: BID

名称: 13236

链接:http://www.securityfocus.com/bid/13236

来源: BUGTRAQ

名称: 20050711 Re: Problems with the Oracle Critical Patch Update for April 2005

链接:http://www.securityfocus.com/archive/1/404970

来源: BUGTRAQ

名称: 20050418 [AppSecInc Team SHATTER Security Advisory] Multiple SQL Injection vulnerabilities in DBMS_CDC_SUBSCRIBE and DBMS_CDC_ISUBSCRIBE packages

链接:http://www.securityfocus.com/archive/1/396133

来源: MISC

链接:http://www.argeniss.com/research/OraDBMS_CDC_SUBSCRIBEWorkaround.sql

来源: MISC

链接:http://www.argeniss.com/research/OraDBMS_CDC_SUBSCRIBEExploit.txt

来源: MISC

链接:http://www.appsecinc.com/resources/alerts/oracle/2005-02.html
来源：NSFOCUS
名称：7631
链接：http://www.nsfocus.net/vulndb/7631