攻击者可获高级权限，Oracle竟无补丁！

来源：PConline 作者：BlackWing 出处：巧巧读书 2006-04-30 进入讨论组

• 关 键 词：
• oracle 10g
• 数据库管理系统
• 数据库管理员
• 赛门铁克
• 恶意代码

 

　　安全专家警告，Oracle最新的更新并不能解决一个已经被利用的漏洞。

　　上周，Oracle推出了季度性的关键升级补丁，修复了其数据库中30多个漏洞。然而，据Next Generation安全软件的研究人员David Litchfield周三发给Full Disclosure安全列表的邮件中称，这次的升级并不能修正Oracle 10g Release 2中的一个漏洞，这个漏洞允许恶意代码的运行。

　　其实，上周在网上流传开的恶意代码并不是针对Oracle已经修补的漏洞，而是针对另外一个新的漏洞。而起初专家都认为这些恶意代码是针对Oracle已经修正的缺陷。

　　通过这个存在于数据库管理系统（DBMS）中的新隐患，攻击者可以获得系统的高级权限。

　　赛门铁克表示，10g的其它版本可以也受到影响。同时它还强烈建议数据库管理员撤销针对DBMS扩展程序的公共执行权，直到Oracle推出官方补丁。目前Oracle还没对此事作出评论。

请保留地址 http://www.qqread.com/news/d039105001.html 更多内容请看DoS 拒绝服务攻击专题、脚本攻击和防范、Windows权限设置专题，或进入讨论组讨论。

【收藏此文】【大 中 小】【打印】【关闭】

较早的文章：无一幸免：IE/Firefox/Safari同时存在漏洞

较新的文章：Sun Solaris libpkcs11(3LIB)本地权限提升的漏洞