Oracle数据库漏洞怎么补,Oracle数据库CREATE_CHANGE_SET过程SQL注入漏洞及修复

最新推荐文章于 2024-04-12 13:04:35 发布
最新推荐文章于 2024-04-12 13:04:35 发布
阅读量911 收藏
点赞数
文章标签: Oracle数据库漏洞怎么补

漏洞描述: Oracle是大型的商业数据库系统。 Oracle数据库的Change Data Capture组件中提供了一个DBMS_CDC_PUBLISH PL/SQL软件包,该软件包的CREATE_CHANGE_SET过程中存在SQL注入漏洞。恶意用户可以以特殊参数调用有漏洞的过程,导致以SYS用户的权限执行SQL语

漏洞描述:

Oracle是大型的商业数据库系统。

Oracle数据库的Change Data Capture组件中提供了一个DBMS_CDC_PUBLISH PL/SQL软件包,该软件包的CREATE_CHANGE_SET过程中存在SQL注入漏洞。恶意用户可以以特殊参数调用有漏洞的过程,导致以SYS用户的权限执行SQL语句。

利用这个漏洞要求拥有对SYS.DBMS_CDC_PUBLISH软件包的EXECUTE权限。默认下给予了EXECUTE_CATALOG_ROLE角色的用户拥有这个权限。

http://secunia.com/advisories/41815/

http://marc.info/?l=full-disclosure&m=128708541022160&w=2

http://www.us-cert.gov/cas/techalerts/TA10-287A.html

http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html

*>

厂商补丁:

Oracle

------

Oracle已经为此发布了一个安全公告(cpuoct2010)以及相应补丁:

cpuoct2010:Oracle Critical Patch Update Advisory - October 2010

链接:html">http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html

百里方欣
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[网络安全提高篇] 一〇五.SQL注入之揭秘Oracle数据库注入漏洞和致命问题(联合Cream老师)
杨秀璋的专栏
03-24 6586
前文带领大家搭建一个Oracle+phpStudy本地网络渗透靶场,并应用SQL注入、XSS攻击、文件上传漏洞三个场景。这篇文章将跟着Cream老师兼好友学习,结合自己的经验详细介绍Oracle数据库注入漏洞和致命问题,包括各种类型的注入知识。注入漏洞是安全威胁中比较常见的漏洞Oracle也是用得最广的数据库,希望这篇文章对您有帮助。真心觉得Cream老师讲解非常厉害,且看且珍惜。
oracle漏洞怎么解决,Oracle数据库高危漏洞警告!
weixin_36047538的博客
04-03 1735
注:本文来自云和恩墨。各位用户,最近在互联网上暴露出一个Oracle的高危漏洞,利用该漏洞,仅有查询权限的用户可以对数据进行增、删、改操作,非常危险。该漏洞影响范围非常广泛,包括在国内最常见的11.2.0.3,11.2.0.4,12.1等版本。该漏洞在2014年7月的CPU中被修正,但是如果用户未应用该CPU,则漏洞仍然存在。强烈建议您检查所有Oracle数据库,确认是否存在该安全风险。云和恩墨在...
oracle数据库opatch丁操作流程
moscot_wu的博客
10-21 6173
Oracle数据库安全丁升级流程 目录 一、升级前准备工作... 2 1、      确认数据库版本... 2 2、      查询丁安装信息... 2 3、      丁类型... 2 4、      查询丁信息... 2 5、      丁下载... 3 6、      数据库备份工作... 4 二、丁安装操作... 4 1、      阅读
oracle----了解Oracle Critical Patch Update
congshe2916的博客
07-20 276
Oracle Critical Patch Update是什么?Critical Patch Update(以下简称CPU),是Oracle在2005年开始引入的产品安全更新策略。一般来说CPU包含了Oracle产品安全漏洞的修...
oracle漏洞,01-oracle漏洞修复
weixin_32645173的博客
04-03 2153
oracle漏洞修复,主要就是通过oracle内置的optach工具给oracle丁。但是,oracle中自带的optach版本是不能提供升级功能的。所以需要先升级opatch才可以给数据库丁。1.OPatch升级首先对oracle中自带的optach进行备份,防止升级optach失败,退回原版本。升级直接删除/home/oracle/app/oracle/product/11.2.0/...
linux系统下oracle11.2.0.4漏洞修复丁(2021.10.19号目前最新的丁)
weixin_44245976的博客
01-19 5898
centos7系统,oracle11.2.0.4打丁包具体步骤
oracle漏洞怎么处理,Oracle存在多个安全漏洞
weixin_34688479的博客
04-02 1133
CNCAN ID:CNCAN-2009041604多个Oracle产品存在漏洞,可导致SQL注入,泄漏敏感信息或使攻击者破坏系统:-Oracle Process Manager和Notification (opmn)守护程序存在格式串错误,提交特殊构建的POST请求给port 6000/TCP可导致任意代码执行。-传递给"DBMS_AQIN"的输入在使用前缺少过滤,可导致注入任意SQL代码。-Or...
oracle 数据库教程从入门到精通.doc
01-15
Oracle数据库是世界上最流行的数据库管理系统之一,广泛应用于企业级数据存储和管理。对于初学者来说,了解Oracle的基础知识和操作是至关重要的。以下是一份Oracle数据库的入门教程,涵盖了Oracle认证、基本使用、...
Oracle入门到精通.docx
05-02
Oracle数据库是一种广泛使用的大型关系型数据库管理系统,它提供了丰富的功能和高效的数据管理能力。本文将对Oracle数据库的一些基本概念和常用命令进行详细讲解,帮助初学者从入门到精通。 首先,我们来了解一下...
《大型数据库》实验一sql_plus工具使用.docx
12-06
SQL*Plus是Oracle数据库管理系统中的一个交互式命令行工具,用于执行SQL查询、数据操作和数据库管理任务。通过实验,我们可以深入理解和掌握SQL*Plus的各项功能。 一、启动与连接数据库 启动SQL*Plus,需要输入...
Oracle10gPatch10丁安装操作.pdf
10-16
Oracle10gPatch10丁安装操作
oracle教程及笔记.docx
09-06
Oracle 教程及笔记 Oracle 是一种关系数据库管理系统,具有高性能、高可靠性和高安全性的特点。本文档主要介绍 Oracle 的基础知识和使用方法,涵盖了 Oracle 的认证、安装、基本使用、用户管理等方面的内容。 一、...
Oracle8i_9i数据库基础
03-03
第一部分 Oracle SQL*PLUS基础 23 第一章 Oracle数据库基础 23 §1.1 理解关系数据库系统(RDBMS) 23 §1.1.1 关系模型 23 §1.1.2 Codd十二法则 24 §1.2 关系数据库系统(RDBMS)的组成 24 §1.2.1 RDBMS 内核 24...
墨者学院SQL手工注入漏洞测试(Oracle数据库)--成功注入教程
qq1140037586的博客
06-21 755
墨者学院SQL手工注入漏洞测试(Oracle数据库)成功注入教程
干货 Oracle注入和漏洞利用姿势总结
2401_84187635的博客
04-12 475
if ‘SMITH’ in res.text: # 为真时,即判断正确的时候的条件。(img-kmpW0H3S-1712898206497)](img-WvSzEJXT-1712898206497)](img-gC5fie7O-1712898206498)](img-lNMktoxz-1712898206498)]到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。– 授予相关 Java 权限。– 撤销相关 Java 权限。– 发起 HTTP 请求。– 发起 DNS 请求。
【SQL】SQL注入漏洞及相关实验(更新中)精华!不看就亏了!
weixin_45844670的博客
08-26 1551
SQL注入原理:SQL注入的原理其实并不难理解,Web应用程序后台获取用户输入并将其拼接到SQL查询语句中进行执行,而这里的用户输入就是我们可以构造恶意payload的地方,通过一些技巧使得查询语句按照我们所希望的方式执行即可完成一次成功的SQL注入。正如大多数的Web漏洞一样,究其漏洞本质就是未验证用户输入,没有实现输入数据与程序执行语句的分离。 但是由于存在不同的数据库(如常见的Oracle、SQL Server、Mysql等)所导致的具有微小差异性的SQL语句实现,以及我们无法直接观察到后台的查询逻辑
Oracle 云基础设施中的严重漏洞允许未经授权的访问
kafankeji的博客
09-21 168
然而,在技术报告中,Wiz高级软件工程师Elad Gabay表示:“在修之前,所有 OCI 客户都可能成为了解该漏洞的攻击者的目标。该漏洞由Wiz的安全云专家于6月发现并被称为AttachMe,该漏洞现在正在该公司今天发布的一份新咨询中进行讨论。根据Wiz公告,由意识到此缺陷的威胁行为者导致的潜在攻击包括权限提升和跨租户访问。Wiz的技术报告中提供了有关已修Oracle 漏洞的更多信息,包括技术演示。根据云安全专家的说法,该漏洞显示了云租户隔离在任何云基础设施中的重要性。
oracle防止sql注入proc,解密:Oracle怎么防SQL注入
weixin_34160181的博客
04-03 1202
昨天我们说了怎么绕过waf进行sql注入,今天我们继续这个话题,说说Oracle数据库本身在防sql注入方面做了哪些工作。Oracle从8i开始PL/SQL中涌现出了大量SQL注入漏洞,直至11.2版本才基本扫清了PL/SQL自身存在的SQL注入漏洞。但时至今日依然存在一些跨语言边界的注入漏洞和二阶SQL注入漏洞。在OracleSQL注入漏洞的战斗史中关键的两步分别在10gr2和11gr1达成。...
算机科学与技术 基于Java的医务室病例管理小程序的设计与实现.docx
最新发布
07-20
算机科学与技术 基于Java的医务室病例管理小程序的设计与实现

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值