Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database
(Oracle Database)
Описание
Внедрение SQL-кода - атака, при которой злоумышленник отправляет приложению базы данных специально сформированные входные данные, которые затем выполняются как SQL-код.
В системах Oracle присутствует уязвимость, позволяющая провести подобную атаку. Уязвимы процедуры EXTENT_OFAVG_DELTAS_FOR_LAYER, EXTENT_OF_LAYERS, ESTIMATE_TILING_LEVEL, AVERAGE_MBR, HISTOGRAM_ANALYSIS, MIX_INFO, SETUP_TEMP_LAYER, SAMPLE_GEOMS, CLEANUP_TEMP_LAYER, ESTIMATE_TILING_TIME, ESTIMATE_TOTAL_NUMTILES, ESTIMATE_INDEX_PERFORMANCE, AVG_DELTAS_OF_OBJECTS, EXTENT_OF_OBJECTS, ESTIMATE_TILING_LEVEL, AVERAGE_MBRSETUP_TEMP_TABLE, SAMPLE_GEOMS, CLEANUP_TEMP_TABLE и ESTIMATE_RTREE_INDEX_SIZE из пакета MDSYS.SDO_TUNE.
В системах Oracle присутствует уязвимость, позволяющая провести подобную атаку. Уязвимы процедуры EXTENT_OFAVG_DELTAS_FOR_LAYER, EXTENT_OF_LAYERS, ESTIMATE_TILING_LEVEL, AVERAGE_MBR, HISTOGRAM_ANALYSIS, MIX_INFO, SETUP_TEMP_LAYER, SAMPLE_GEOMS, CLEANUP_TEMP_LAYER, ESTIMATE_TILING_TIME, ESTIMATE_TOTAL_NUMTILES, ESTIMATE_INDEX_PERFORMANCE, AVG_DELTAS_OF_OBJECTS, EXTENT_OF_OBJECTS, ESTIMATE_TILING_LEVEL, AVERAGE_MBRSETUP_TEMP_TABLE, SAMPLE_GEOMS, CLEANUP_TEMP_TABLE и ESTIMATE_RTREE_INDEX_SIZE из пакета MDSYS.SDO_TUNE.
Как исправить
Производитель выпустил исправление для данной уязвимости в рамках CPU Oct2005 и CPU Oct2006.
Ссылки