Oracle数据库Java存储过程竞争条件代码执行漏洞

文章由LinuxBoy分享于2019-04-02 10:04:25热评（505）

Oracle数据库Java存储过程竞争条件代码执行漏洞

发布日期：2010-10-12
更新日期：2010-10-21

受影响系统：
Oracle Database 11.2.0.1
Oracle Database 11.1.0.7
Oracle Database 10.2.0.4
Oracle Database 10.2.0.3
Oracle Database 10.1.0.5
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 43935
CVE ID: CVE-2010-2419

Oracle是大型的商业数据库系统。

Oracle的自定义SecurityManager实现依赖于特殊对象的标签来判断特权调用是否成功。由于一个竞争条件，通过认证的用户可以绕过沙盒限制执行Java代码。

<*来源：Sami Koivu

链接：http://secunia.com/advisories/41815/
        http://marc.info/?l=full-disclosure&m=128692160118293&q=p3
        http://www.us-cert.gov/cas/techalerts/TA10-287A.html
        http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Oracle
------
Oracle已经为此发布了一个安全公告（cpuoct2010）以及相应补丁:
cpuoct2010：Oracle Critical Patch Update Advisory - October 2010
链接：http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html

推荐文章：

Oracle数据库Java存储过程竞争条件代码执行漏洞