Oracle DBMS_METADATA软件包存在多个SQL注入漏洞

Oracle DBMS_METADATA软件包存在多个SQL注入漏洞

受影响系统：

Oracle database server 9i
Oracle database server 10g

详细描述：

Oracle Database是一款商业性质大型数据库系统。

DBMS_METADATA软件包的各种过程所使用的OBJECT_TYPE参数存在SQL注入漏洞。

尽管这个软件包是以调用用户的权限执行的，但其内部使用了以SYS权限执行注入SQL的其他软件包，因此安全者可以获得DBA权限。拥有创建或修改函数权限的用户可以向有漏洞的过程注入用户定义的函数，这样就可以以DBA权限执行SQL语句。

补丁下载：

http://metalink.oracle.com/