VULHUB ™

BUGTRAQ ID: 43956 CVE ID: CVE-2010-2415 Oracle是大型的商业数据库系统。 Oracle数据库的Change Data Capture组件中提供了一个DBMS_CDC_PUBLISH PL/SQL软件包，该软件包的CREATE_CHANGE_SET过程中存在SQL注入漏洞。恶意用户可以以特殊参数调用有漏洞的过程，导致以SYS用户的权限执行SQL语句。 利用这个漏洞要求拥有对SYS.DBMS_CDC_PUBLISH软件包的EXECUTE权限。默认下给予了EXECUTE_CATALOG_ROLE角色的用户拥有这个权限。 Oracle Database 11.2.0.1 Oracle Database 11.1.0.7 Oracle Database 10.2.0.4 Oracle Database 10.2.0.3 Oracle Database 10.1.0.5 厂商补丁： Oracle ------ Oracle已经为此发布了一个安全公告（cpuoct2010）以及相应补丁: cpuoct2010：Oracle Critical Patch Update Advisory - October 2010 链接：http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html

BUGTRAQ ID: 43956 CVE ID: CVE-2010-2415 Oracle是大型的商业数据库系统。 Oracle数据库的Change Data Capture组件中提供了一个DBMS_CDC_PUBLISH PL/SQL软件包，该软件包的CREATE_CHANGE_SET过程中存在SQL注入漏洞。恶意用户可以以特殊参数调用有漏洞的过程，导致以SYS用户的权限执行SQL语句。 利用这个漏洞要求拥有对SYS.DBMS_CDC_PUBLISH软件包的EXECUTE权限。默认下给予了EXECUTE_CATALOG_ROLE角色的用户拥有这个权限。 Oracle Database 11.2.0.1 Oracle Database 11.1.0.7 Oracle Database 10.2.0.4 Oracle Database 10.2.0.3 Oracle Database 10.1.0.5 厂商补丁： Oracle ------ Oracle已经为此发布了一个安全公告（cpuoct2010）以及相应补丁: cpuoct2010：Oracle Critical Patch Update Advisory - October 2010 链接：http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html