受影響系統(tǒng)： Oracle Oracle10g 10.2.0.2.0 描述： BUGTRAQ ID: 17699 Oracle是一款大型的商業(yè)數(shù)據(jù)庫系統(tǒng)。 Oracle 10g中由SYS用戶運(yùn)行的DBMS_EXPORT_EXTENSION存儲過程存在PL/SQL注入漏洞，答應(yīng)低權(quán)限用戶以DBA權(quán)限執(zhí)行任意SQL代碼。 Oracle聲稱已在2006年4月的緊急補(bǔ)丁更新中修復(fù)了這個漏洞，但實際上并未修復(fù)。 <*來源：David Litchfield （[email protected]） 鏈接：http://marc.theaimsgroup.com/?l=bugtraq&m=114606418904385&w=2 http://marc.theaimsgroup.com/?l=bugtraq&m=114546055109559&w=2 http://www.us-cert.gov/cas/techalerts/TA06-109A.Html http://www.oracle.com/technology/deploy/security/pdf/cpuapr2006.html?_template=/ocom/technology/cont *> 建議： 臨時解決方法： 假如您不能馬上安裝補(bǔ)丁或者升級，NSFOCUS建議您采取以下措施以降低威脅： * 刪除DBMS_EXPORT_EXTENSION的PUBLIC執(zhí)行權(quán)限。 廠商補(bǔ)丁： Oracle 目前廠商還沒有提供補(bǔ)丁或者升級程序，我們建議使用此軟件的用戶隨時關(guān)注廠商的主頁以獲取最新版本： http://www.oracle.com