受影響系統： Oracle database server 9iR2 Oracle database server 9iR1 Oracle database server 8iR3 Oracle database server 10gR1 描述： BUGTRAQ ID: 26243 Oracle是一款大型的商用數據庫系統。 Oracle捆綁的MDSYS.SDO_CS軟件包實現上存在緩沖區溢出漏洞，遠程攻擊者可能利用此漏洞控制服務器。 Oracle數據庫服務器捆綁的MDSYS.SDO_CS軟件包提供用于系統協作的子程序，該軟件包中的TRANSFORM函數存在緩沖區溢出漏洞。假如遠程攻擊者向該函數提交了惡意請求的話，就可能觸發這個溢出，導致拒絕服務或執行任意指令。默認下MDSYS.SDO_CS對PUBLIC開放EXECUTE權限，因此任何Oracle用戶都可以觸發這個漏洞。 建議： 臨時解決方法： * 限制對MDSYS.SDO_CS的訪問。 廠商補丁： Oracle已經為此發布了一個安全公告（cpuoct2007）以及相應補丁: cpuoct2007：Oracle Critical Patch Update - October 2007 鏈接：http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2007.Html?_template=/o