https://opennet.ru/openforum/vsluhforumID3/41271.html "Oracle Products Command Execution and SQL Injection Vulnerabilities (http://www.frsirt.com/english/advisories/2008/1233)" - в СУБД и других продуктах Oracle обнаружены 17 уязвимостей (http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2008.html), некоторые из которых критические:<br>- возможность подстановки SQL запроса, из-за отсутствия проверки пользовательского ввода в пакетах SDO_GEOM, SDO_IDX и SDO_UTIL;<br>- выполнение удаленным злоумышленником произвольной команды на сервере (деталей по уязвимости не удалось найти);<br>- пакет DBMS_STATS_INTERNAL устанавливает пользователю OUTLN заведомо известный пароль и активирует привилегии администратора базы.<br><br>URL: http://www.frsirt.com/english/advisories/2008/1233<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=15349<br> https://opennet.ru/openforum/vsluhforumID3/41271.html#1 Wed, 16 Apr 2008 18:18:55 GMT и опять сразу после выхода critical patch update :-)<br>