关键信息摘要 漏洞概述 名称: SQL Injection in package SYS.KUPV$FT 受影响系统: Oracle 10g Release 1 严重性: High Risk 类别: SQL Injection 厂商URL: http://www.oracle.com/ 公告作者: Alexander Kornbrust (ak at red-database-security.com) 漏洞细节 摘要: Package SYS.KUPV$FT 包含了三个 SQL 注入漏洞,这些漏洞存在于函数 ATTACH_JOB,OPEN_JOB 和 HAS_PRIVS。Oracle 已经通过包 dbms_assert 固定了这些问题。 漏洞列表 修补信息 说明: 请应用 Oracle CPU Jan 2006 的补丁到 Oracle 10g Release 1 上。 历史记录 2005-11-01: Oracle secalert 被通知 2005-11-02: Oracle secalert 请求一个 exploit 2006-01-17: Oracle 发布 CPU 2006 年 1 月版本 2006-01-17: 顾问公告发布