Marcos, as formas que tentei aqui não funcionaram, testei em um banco 10gR2 e com um 11gR2.
Outras formas que vi achei, eram utilizando uma função/procedure que permitisse a injeção de sql. Você também utilizou dessa maneira? 2010/2/8 itonebr <alessan...@applysolutions.com.br>: > > Este patch foi para o weblogic e não para o banco > > Atc > Alessandro Guimaraes > --- Em oracle_br@yahoogrupos.com.br, Marcos Braga <braga.mar...@...> escreveu >> >> Oi Pessoal, >> >> Efetuei testes utilizando as falhas mencionadas e o resultado é assustador: >> de um usuário comum, apenas com permissão de CREATE SESSION é possível >> conseguir a role de DBA em apenas 3 comandos no sqlplus. >> >> Há pouco recebi um email da Oracle sobre atualização de segurança >> Fevereiro/2010, ainda não olhei as atualizações, mas creio que devem ter >> alguma coisa em relação a essa falha. >> >> Amanhã verificarei os patchs. >> >> Qualquer novidade, continuem postando. >> >> []s >> Braga >> >> >> Em 8 de fevereiro de 2010 18:30, Rosivaldo Ramalho >> <rosiva...@...>escreveu: >> >> > >> > >> > Amigos, >> > >> > Vi algumas notícias sobre uma falha de segurança em banco de dados >> > Oracle 11g, mas as notícias (aparentemente da mesma fonte) não traziam >> > informações detalhadas sobre o assunto, e nem como fechar a brecha de >> > segurança. >> > >> > >> > http://www.computerworld.com/s/article/9151318/Black_Hat_Zero_day_hack_of_Oracle_11g_database_revealed?taxonomyId=1 >> > >> > http://www.networkworld.com/news/2010/020310-black-hat-zero-day-hack-oracle.html >> > >> > Pelo que deu para tirar das entre-linhas, devemos apenas retirar as >> > permissões do Java (muito genérico). >> > >> > Então pensei, devemos remover o execute da dbms_java ou utilizar a >> > dbms_java.grant_permission/delete_permission? >> > >> > Caso estejam sabendo de algo a mais favor comentar. >> > >> > -- >> > Rosivaldo Azevedo Ramalho >> > Consultor Oracle Database / Application Server >> > mail/msn: rosiva...@... <rosivaldo%40gmail.com> >> > mobile: +55 83 8893 8281 >> > Oracle Database 10g Certified Professional >> > Oracle Application Server 10g Certified Professional >> > >> >> >> [As partes desta mensagem que não continham texto foram removidas] >> > > > > > ------------------------------------ > > -------------------------------------------------------------------------------------------------------------------------- >>Atenção! As mensagens do grupo ORACLE_BR são de acesso público e de inteira >>responsabilidade de seus remetentes. > Acesse: http://www.mail-archive.com/oracle_br@yahoogrupos.com.br/ > -------------------------------------------------------------------------------------------------------------------------- >>Apostilas » Dicas e Exemplos » Função » Mundo Oracle » Package » Procedure » >>Scripts » Tutoriais - O GRUPO ORACLE_BR TEM SEU PROPRIO ESPAÇO! VISITE: >>http://www.oraclebr.com.br/ > ------------------------------------------------------------------------------------------------------------------------ > Links do Yahoo! Grupos > > > -- Rosivaldo Azevedo Ramalho Consultor Oracle Database / Application Server mail/msn: rosiva...@gmail.com mobile: +55 83 8893 8281 Oracle Database 10g Certified Professional Oracle Application Server 10g Certified Professional
