发布日期：2004-09-02
更新日期：2004-09-06

受影响系统：

Oracle Oracle10g Application Server 9.0.4.0
Oracle Oracle10g Application Server 10.1.0.2
Oracle Oracle10g Enterprise Edition 9.0.4.0
Oracle Oracle10g Enterprise Edition 10.1.0.2
Oracle Oracle10g Personal Edition 9.0.4.0
Oracle Oracle10g Personal Edition 10.1.0.2
Oracle Oracle10g Standard Edition 9.0.4.0
Oracle Oracle10g Standard Edition 10.1.0.2

描述：

---

BUGTRAQ  ID: 11091

Oracle Database是一款商业性质大型数据库系统。

Oracle 10gR1新增的'scheduler'功能存在问题，远程攻击者可以利用这个漏洞以进程权限执行任意命令。

如果系统运行了'scheduler'功能的Oracle 10gR1，任何拥有CREATE JOB系统权限的验证用户可以使用这个功能，获得DBA权限，或者建立反向连接，执行任意命令。

<*来源：Pete Finnigan （pete@peterfinnigan.demon.co.uk）
        Jonathan Gennick
        Alexander Kornbrust （ak@red-database-security.com）
  
  链接：http://www.petefinnigan.com/dbms_scheduler.pdf
*>

建议：

---

厂商补丁：

Oracle
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=281189.1

浏览次数：4206
严重程度：0（网友投票）