> Oracle SYS.KUPV$FT软件包SQL注入漏洞

Oracle SYS.KUPV$FT软件包SQL注入漏洞

CNNVD-ID编号	CNNVD-200602-099	CVE编号	CVE-2006-0586
发布时间	2006-01-17	更新时间	2009-04-03
漏洞类型	SQL注入	漏洞来源	Alexander Kornbrust [email protected]
危险等级	高危	威胁类型	远程
厂商	oracle

漏洞介绍

Oracle Database是一款商业性质大型数据库系统。

Oracle SYS.KUPV$FT软件包的ATTACH_JOB、OPEN_JOB、HAS_PRIVS函数中存在3个SQL注入漏洞，成功利用这些漏洞的远程攻击者可以完全入侵受影响的数据库系统。

漏洞补丁

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

cpujan2006：Oracle Critical Patch Update - January 2006

http://www.oracle.com/technology/deploy/security/pdf/cpujan2006.html?_template=/ocom/technology/cont

参考网址

来源: XF

名称: oracle-syskupv$ftint-sql-injection(24197)

链接：http://xforce.iss.net/xforce/xfdb/24197

来源: BID

名称: 16294

链接：http://www.securityfocus.com/bid/16294

来源: MISC

链接：http://www.red-database-security.com/advisory/oracle_sql_injection_kupv$ft_int.html

来源: MISC

链接：http://www.red-database-security.com/advisory/oracle_sql_injection_kupv$ft.html

来源: MISC

链接：http://www.red-database-security.com/advisory/oracle_cpu_jan_2006.html

来源: OSVDB

名称: 22840

链接：http://www.osvdb.org/22840

来源: OSVDB

名称: 22839

链接：http://www.osvdb.org/22839

来源: FULLDISC

名称: 20060118 Oracle Database 10g Rel. 1 - SQL Injection in SYS.KUPV$FT

链接：http://lists.grok.org.uk/pipermail/full-disclosure/2006-January/041499.html

来源: FULLDISC

名称: 20060118 Oracle Database 10g Rel. 1 - SQL Injection in SYS.KUPV$FT_INT

链接：http://lists.grok.org.uk/pipermail/full-disclosure/2006-January/041498.html

来源: BUGTRAQ

名称: 20060117 Oracle Database 10g Rel. 1 - SQL Injection in SYS.KUPV$FT_INT

链接：http://www.securityfocus.com/archive/1/archive/1/422424/30/7370/threaded

受影响实体

Oracle Oracle10g:Enterprise_10.1.0.3 Oracle Oracle10g:Enterprise_10.1.0.2 Oracle Application_server:10.1.0.3 Oracle Application_server:10.1.0.2 Oracle Application_server:10.1.2.1.0

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200602-099