在美西时间2018一月16日,北京时间今天凌晨,Oracle公司发布了 2018 年第一个安全补丁,这被称为 - Oracle Critical Patch Update,缩写为 CPU。

Oracle强烈推荐用户根据实际情况,尽快应用这些安全补丁。

我们看一下关于数据库的部分,Oracle这一次修复了什么漏洞。关于数据库部分有 5 个安全漏洞被修复,其中两个和数据库核心组件相关:Core RDBMS,值得引起注意,其他 3 个和组件相关:

其中第一个和第五个的CVE编号分别是:CVE-2017-10282 ,意味着这是一个在2017年被披露的问题。这个问题在CVE网站未被披露。

第五个是 CVE-2018-2575 ,在CVE网站上可以找到简单的描述,但是核心信息是不会披露的,你不会了解到任何相关的内容,这是为了确保安全,但是这也为用户判断是否修复、是否可以通过其他方式绕过漏洞带来了困惑

是否应用这些补丁?要想做出判断就必须深入了解诱发问题的可能情况。

我们看看第一个核心问题:CVE-2017-10282。这个问题会因为 Create Session, Execute Catalog Role 触发,也就是说这是因为权限引起的,影响的版本包括已经发布的12从版本:12.1.0.2, 12.2.0.1 。

我们来重现一下这个问题,首先在多租户数据库中,创建一个具有 execute_catalog_role 权限的用户 :

我们看看会发生什么样的风险。

具备了权限,当我执行了一条语句命令之后:

执行SQL注入查询之后,这个普通用户获得了DBA的权限。这就是这个漏洞的影响之处。这是一个 12.2 版本的数据库。获得DBA权限的用户,就可以在数据库中为所欲为,这个漏洞够严重吗?

如果了解了风险,就可以通过权限控制,防范这个风险,也就不一定非要通过补丁去修正。

清醒的认知风险,正是正确判断决策的开始。


原文发布时间为:2018-01-16

本文作者:盖国强

本文来自云栖社区合作伙伴“数据和云”,了解相关信息可以关注“数据和云”微信公众号

安全警报:Oracle 2018一月号安全补丁修复由来已久安全漏洞相关推荐

  1. Oracle之数据库升级——升级补丁修复概述

    Oracle数据库升级补丁修复概述 一. 升级路线图 无论你是谁,要想做数据库升级,我想一定离不开如下这张升级线路图:企业中数据库的升级是一个浩大的工程,但是却又必不可少,小在打一个PSU解决一个简单 ...

  2. wordpress表单数据验证_微软发布最大规模周二补丁修复129个漏洞;UPnP协议中的漏洞CallStranger,可导致数据泄露或DDoS攻击...

    维他命安全简讯 10 星期三 2020年06月 [漏洞补丁] 微软发布最大规模的周二补丁程序,共修复129个漏洞 [安全漏洞] UPnP协议中的漏洞CallStranger,可导致数据泄露或DDoS攻 ...

  3. 微软流媒体服务器补丁,创今年之最 微软发布16个补丁修复49处漏洞

    微软发布了10月份例行补丁,此次发布的安全补丁数量和修复的安全漏洞数量都创下了今年之最,共有16个安全补丁,修复49个安全漏洞.在本次发布的16个补丁中,4个为最高的严重级别,修复了影响Windows ...

  4. 微软服务器安全补丁,微软发布10个安全补丁 修复26个漏洞

    微软今天如期发布了10月份的安全补丁,虽然数量只有10个,而非此前所说的11个,但无论是关键级补丁数量还是修正漏洞数量,均创下了新的记录. 在这10个安全补丁中,有5个针对Windows.4个针对Of ...

  5. oracle最新scn补丁,Oracle 系统改变号(SCN), Headroom, 安全和补丁信息

    适用于: Oracle Database – Enterprise Edition – 版本 10.1.0.5到 11.2.0.3 [Release 10.1 to 11.2] 本文信息适用于任何平台 ...

  6. 上海科技大学计算机系学硕论文要求,上海交通大学医学院关于研究生在读期间发表学术论文要求的规定(沪交医研[2018]1号)...

    沪交医研[2018]1号 根据<上海交通大学研究生培养管理规定>(沪交研[2017]74号)有关要求,加强研究生科研能力的培养,促进研究生的科研素质与创新能力,进一步提高医学院研究生培养质 ...

  7. Oracle 19c 19.10DBRU 最新补丁升级看这一篇就够了

    作者 | JiekeXu 来源 | JiekeXu DBA之路(ID: JiekeXu_IT) 大家好,我是 JiekeXu,很高兴又和大家见面了,今天和大家聊聊 Oracle 19c RU 升级的事 ...

  8. Oracle 更新Opatch、打补丁

    1.更新Opatch; 2.打补丁; 3.grid 打补丁; 1.更新Opatch(实验版本:oracle:11.2.0.3.0): 默认安装数据库后,在ORACLE_HOME 下会有个OPatch ...

  9. 前端证券项目_证监会公告[2018]6号 证券公司投资银行类业务内部控制指引

    证监会公告 [2018]6 号 证券公司投资银行类业务内部控制指 引 中国证券监督管理委员会公告 [2018]6 号现公布 <证券公 司投资银行类业务内部控制指引> ,自 2018 年 7 ...

最新文章

  1. Mac下crontab -e没结果的解决办法
  2. 大数据架构:flume-ng+Kafka+Storm+HDFS 实时系统组合
  3. OllyDbg笔记-修改Messagebox的标题
  4. 当我们在谈数字化转型的时候,我们在谈什么?
  5. Android编译tcpdump,android 使用tcpdump
  6. 使用axis2解析wsdl反向生成webservice客户端
  7. java 并行框架_JAVA并行框架学习之ForkJoin
  8. 简述hdfs工作原理_HDFS 原理简述
  9. 浅谈《软件工程》常用的几种软件开发方法
  10. 真彩色与伪彩色的概念
  11. EXP-00091: Exporting questionable statistics 问题处理方法
  12. mysql的函数的写法_mysql中分组函数的写法
  13. 如何建立地球上任何一个区域的地形3d模型,并添加卫星或地貌贴图
  14. 目前最新《Thinkphp 5.0 仿百度糯米开发多商家电商平台》
  15. 跑步用app轨迹画得比较准确的居然是“咕咚”
  16. 蛙蛙推荐:蛙蛙教你解析网络包
  17. 黄金期货对比现货黄金有哪些优势
  18. Camera Tuning
  19. 控制台报错element: <Goods> - did you register the component correctly? For recursive components, make sur
  20. aws lambda_Google Cloud Run与AWS Lambda

热门文章

  1. hadoop 依赖式job_Hadoop Job使用第三方依赖jar文件
  2. 关闭Eclipse回车自动添加大括号
  3. 关于网站域名的配置过程
  4. codeforces 450B. Jzzhu and Sequences 解题报告
  5. Django中的常用命令
  6. 深入浅出SharePoint——数据库维护
  7. Go语言MD5加密用法实例
  8. 一小时Docker教程
  9. Ubuntu 14.04 LTS, 64bit, cuda 7, Caffe环境配置编译和安装
  10. 动态线条,随鼠标移动吸附效果