CVE-2009-1991

Вендор

Oracle

Продукт

Oracle Database 10G  
9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.4 

Тип уязвимости

PLSQL инъекция

Reported

29.01.2008

Date of Public Advisory

26.10.2009

Автор

Александр Поляков

Детальное описание

Уязвимость PL/SQL инъекции обнаружена в процедуре ctxsys.drvxtabc.create_tables 

Уязвимая процедура ctxsys.drvxtabc.create_tables имеет 4 параметра: 

idx_owner - varchar2 
idx_name - varchar2 
idxid - number 

Параметры idx_owner и idx_name уязвимы к PL/SQL инъекции 

Пример
exec ctxsys.drvxtabc.create_tables('SH"."SH2KERR" (X NUMBER)--','yyyyyyyyy',2); 

Решение
**********
Данная уязвимость исправлена в пакете обновлений, вышедшем 21 октября 2009 года. 
Все заказчики могут скачать и установить обновления, следуя инструкциям из официального Advisory: 
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2009.html