安全警报:Oracle 2018一月号安全补丁修复由来已久安全漏洞

在美西时间2018一月16日,北京时间今天凌晨,Oracle公司发布了 2018 年第一个安全补丁,这被称为 - Oracle Critical Patch Update,缩写为 CPU。

Oracle强烈推荐用户根据实际情况,尽快应用这些安全补丁。

我们看一下关于数据库的部分,Oracle这一次修复了什么漏洞。关于数据库部分有 5 个安全漏洞被修复,其中两个和数据库核心组件相关:Core RDBMS,值得引起注意,其他 3 个和组件相关:

其中第一个和第五个的CVE编号分别是:CVE-2017-10282 ,意味着这是一个在2017年被披露的问题。这个问题在CVE网站未被披露。

第五个是 CVE-2018-2575 ,在CVE网站上可以找到简单的描述,但是核心信息是不会披露的,你不会了解到任何相关的内容,这是为了确保安全,但是这也为用户判断是否修复、是否可以通过其他方式绕过漏洞带来了困惑

是否应用这些补丁?要想做出判断就必须深入了解诱发问题的可能情况。

我们看看第一个核心问题:CVE-2017-10282。这个问题会因为 Create Session, Execute Catalog Role 触发,也就是说这是因为权限引起的,影响的版本包括已经发布的12从版本:12.1.0.2, 12.2.0.1 。

我们来重现一下这个问题,首先在多租户数据库中,创建一个具有 execute_catalog_role 权限的用户 :

我们看看会发生什么样的风险。

具备了权限,当我执行了一条语句命令之后:

执行SQL注入查询之后,这个普通用户获得了DBA的权限。这就是这个漏洞的影响之处。这是一个 12.2 版本的数据库。获得DBA权限的用户,就可以在数据库中为所欲为,这个漏洞够严重吗?

如果了解了风险,就可以通过权限控制,防范这个风险,也就不一定非要通过补丁去修正。

清醒的认知风险,正是正确判断决策的开始。


原文发布于微信公众号 - 数据和云(OraNews)

原文发表时间:2018-01-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏逸鹏说道

Hyper-V:无法打开虚拟机XXX,因为虚拟机监控程序未运行

异常处理汇总-服务器系列:http://www.cnblogs.com/dunitian/p/4522983.html 异常处理汇总-开发工具 http://...

6836
来自专栏Golang语言社区

NSQ:分布式的实时消息平台--简介

源码下载地址: https://github.com/bitly/nsq NSQ是一个基于Go语言的分布式实时消息平台,它基于MIT开源协议发布,代码托管在Gi...

4096
来自专栏机器学习算法与Python学习

Ubuntu 19.04 每日创建版本已经提供下载

Ubuntu 19.04 代号已经发布,发布日期也已提上日程,现在可以下载Ubuntu 19.04每日创建版本了。

1364
来自专栏美团技术团队

【美团技术博客】Docker系列之二:基于容器的自动构建

自动构建系统是从美团的自动部署系统发展出来的一个新功能。每当开发人员提交代码到仓库后,系统会自动根据开发人员定制的构建配置,启动新的Docker容器,在其中对源...

40310
来自专栏优启梦

通过Dnsmasq自建干净的DNS服务

不晓得为撒,用网上的一些公共DNS服务的时候,总是莫名其妙的有些网站无法解析,有时候114能解析,阿里DNS不行或者腾讯DNS不行,导致总是来回切换DNS,很是...

2K7
来自专栏Golang语言社区

NSQ:分布式的实时消息平台--简介

源码下载地址: https://github.com/bitly/nsq NSQ是一个基于Go语言的分布式实时消息平台,它基于MIT开源协议发布,代码托管在Gi...

4586
来自专栏FH云彩

折腾一下,用CentOS在B站直播

1274
来自专栏nice_每一天

解决电脑系统卡、慢 3分钟成为高手!

简介:大家在平常使用电脑的过程中,随着时间的推移,电脑Windows系统会变得越来越卡,越来越慢!很多人都会选用电脑自带的系统安全软件来优化Windows系统,...

1603
来自专栏aCloudDeveloper

Kubernetes 笔记 02 demo 初体验

从前面的文章我们知道,Kubernetes 脱胎于 Google 的 Borg,Borg 在 Kubernetes 诞生之初已经在 Google 内部身经百战 ...

1644
来自专栏大魏分享(微信公众号:david-share)

Openshift3.9高可用部署考虑点1

一个典型的OCP高可用架构是:master至少应为三个,且为奇数个(上面有etcd);

2964

扫码关注云+社区

领取腾讯云代金券