Oracle视图对象任意删除数据漏洞

名称： Oracle视图对象任意删除数据漏洞 [DB17]

涉及系统：Oracle 8i - 10g Rel. 2

安全级别： 高风险

类型：越权访问

厂商URL ：www.oracle.com

发现者 ：Alexander Kornbrust

公告时间：17 July 2007 (V 1.00)

细节： 攻击者通过构造畸形的视图对象(View)可以获取Updates,deletes和inserts 权限对数据库进行越权访问。

测试代码：

delete from (specially crafted view)

insert into (specially crafted view)

update (specially crafted view)

实际案例将会在我们确定该漏洞真正修补后公布。

 

补丁信息：安装0racle2007年7月份补丁修复该漏洞。

历史

24-oct-2006 Oracle 安全部门注意到该漏洞

25-oct-2006 漏洞证实

18-jul-2007 Oracle公布2007年7月份补丁修复该漏洞

18-jul-2007 发布公告