Oracle Database‘CTXSYS.CONTEXT’索引权限提升漏洞

漏洞信息详情

Oracle Database‘CTXSYS.CONTEXT’索引权限提升漏洞

• CNNVD编号：CNNVD-201208-086
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-3132
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2012-08-10
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-08-13
  
• 厂        商：
  
  oracle
• 漏洞来源：
  David Litchfield

Oracle Database Server是美国甲骨文（Oracle）公司的一套关系数据库管理系统。该数据库管理系统提供数据管理、分布式处理等功能。

Oracle Database Server 10.2.0.3，10.2.0.4，10.2.0.5，11.1.0.7，11.2.0.2和11.2.0.3版本中存在SQL注入漏洞。远程认证用户可利用该漏洞通过包含带有CTXSYS.CONTEXT INDEXTYPE和DBMS_STATS.GATHER_TABLE_STATS的CREATE INDEX的向量执行任意SQL命令。

目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.oracle.com/index.html

来源: blogs.oracle.com

链接:https://blogs.oracle.com/security/entry/security_alert_cve_2012_3132

来源: www.teamshatter.com

链接:http://www.teamshatter.com/topics/general/team-shatter-exclusive/ctxsys-context-privilege-escalation/

来源: www.oracle.com

链接:http://www.oracle.com/technetwork/topics/security/alert-cve-2012-3132-1721017.html

来源: www.networkworld.com

链接:http://www.networkworld.com/news/2012/072712-black-hat-shark-bitten-security-researcher-261203.html

来源: www.darkreading.com

链接:http://www.darkreading.com/database-security/167901020/security/news/240004776/hacking-oracle-database-indexes.html

来源: BID

名称: 54884

链接:http://www.securityfocus.com/bid/54884