Oracle SQL*Plus 未授权SHELL命令可执行漏洞发布时间:2002-01-21 更新时间:2002-01-21 严重程度:高 威胁程度:普通用户访问权限 错误类型:设计错误 利用方式:服务器模式 BUGTRAQ ID:3900 受影响系统 Oracle Oracle8i 8.0.1详细描述 Oracle Server 是一款全功能相关数据库管理的系统。 SQL*Plus 是Oracle服务程序的主要接口,它集成Oracle SQL 和 PL/SQL. SQL*Plus 能恢复和修改数据并维护数据库,适用于多种系统平台。 默认设置下,任意连接SQL*Plus 的用户可以执行任意SHELL命令。 测试代码 尚无 解决方案 临时方法: 运行$ORACLE_HOME/sqlplus/admin/pupbld.sql ,然后运行如下SLQ命令: INSERT INTO PRODUCT_USER_PROFILE VALUES('SQL*Plus','%','HOST',NULL,NULL,'DISABLED',NULL,NULL) / 相关信息 Jonathan A. Zdziarski <jonathan@cafejesus.com>. 相关主页:http://www.oracle.com/index.html |
