Benvenuto su WolfOtakar.Com

Benvenuto su WolfOtakar.Com
Entra nella chat del nostro portale!Per chiarimenti e spiegazioni!

SQL Injection in Oracle Database
04/28/2006
 
David Litchfield ha scoperto una vulnerabilità in Oracle Database che potrebbe essere sfruttata da un utente malevolo per eseguire attacchi SQL Injection.

La falla, causata da un errore di validazione dell'input presente nel pacchetto 'DBMS_EXPORT_EXTENSION', permette di manipolare le query SQL tramite il passaggio di codice SQL.

La vulnerabilità è stata riscontrata in Oracle Database 10g Release 2 con il Critical Patch Update di Aprile 2006. Altre versioni potrebbero essere affette dal problema.

 

Soluzione:
Restringere l'accesso al package 'DBMS_EXPORT_EXTENSION'.


Riferimenti:
http://lists.grok.org.uk/pipermail/full-disclosure/2006-April/045540.html
http://secunia.com/advisories/19860/
 

 

 

   

Home Page