安全警报:Oracle 2018一月号安全补丁修复由来已久安全漏洞
在美西时间2018一月16日,北京时间今天凌晨,Oracle公司发布了 2018 年第一个安全补丁,这被称为 - Oracle Critical Patch Update,缩写为 CPU。
Oracle强烈推荐用户根据实际情况,尽快应用这些安全补丁。
我们看一下关于数据库的部分,Oracle这一次修复了什么漏洞。关于数据库部分有 5 个安全漏洞被修复,其中两个和数据库核心组件相关:Core RDBMS,值得引起注意,其他 3 个和组件相关:
其中第一个和第五个的CVE编号分别是:CVE-2017-10282 ,意味着这是一个在2017年被披露的问题。这个问题在CVE网站未被披露。
第五个是 CVE-2018-2575 ,在CVE网站上可以找到简单的描述,但是核心信息是不会披露的,你不会了解到任何相关的内容,这是为了确保安全,但是这也为用户判断是否修复、是否可以通过其他方式绕过漏洞带来了困惑。
是否应用这些补丁?要想做出判断就必须深入了解诱发问题的可能情况。
我们看看第一个核心问题:CVE-2017-10282。这个问题会因为 Create Session, Execute Catalog Role 触发,也就是说这是因为权限引起的,影响的版本包括已经发布的12从版本:12.1.0.2, 12.2.0.1 。
我们来重现一下这个问题,首先在多租户数据库中,创建一个具有 execute_catalog_role 权限的用户 :
我们看看会发生什么样的风险。
具备了权限,当我执行了一条语句命令之后:
执行SQL注入查询之后,这个普通用户获得了DBA的权限。这就是这个漏洞的影响之处。这是一个 12.2 版本的数据库。获得DBA权限的用户,就可以在数据库中为所欲为,这个漏洞够严重吗?
如果了解了风险,就可以通过权限控制,防范这个风险,也就不一定非要通过补丁去修正。
清醒的认知风险,正是正确判断决策的开始。
原文发布时间为:2018-01-16
本文作者:盖国强
本文来自云栖社区合作伙伴“数据和云”,了解相关信息可以关注“数据和云”微信公众号
安全警报:Oracle 2018一月号安全补丁修复由来已久安全漏洞相关推荐
- Oracle之数据库升级——升级补丁修复概述
Oracle数据库升级补丁修复概述 一. 升级路线图 无论你是谁,要想做数据库升级,我想一定离不开如下这张升级线路图:企业中数据库的升级是一个浩大的工程,但是却又必不可少,小在打一个PSU解决一个简单 ...
- wordpress表单数据验证_微软发布最大规模周二补丁修复129个漏洞;UPnP协议中的漏洞CallStranger,可导致数据泄露或DDoS攻击...
维他命安全简讯 10 星期三 2020年06月 [漏洞补丁] 微软发布最大规模的周二补丁程序,共修复129个漏洞 [安全漏洞] UPnP协议中的漏洞CallStranger,可导致数据泄露或DDoS攻 ...
- 微软流媒体服务器补丁,创今年之最 微软发布16个补丁修复49处漏洞
微软发布了10月份例行补丁,此次发布的安全补丁数量和修复的安全漏洞数量都创下了今年之最,共有16个安全补丁,修复49个安全漏洞.在本次发布的16个补丁中,4个为最高的严重级别,修复了影响Windows ...
- 微软服务器安全补丁,微软发布10个安全补丁 修复26个漏洞
微软今天如期发布了10月份的安全补丁,虽然数量只有10个,而非此前所说的11个,但无论是关键级补丁数量还是修正漏洞数量,均创下了新的记录. 在这10个安全补丁中,有5个针对Windows.4个针对Of ...
- oracle最新scn补丁,Oracle 系统改变号(SCN), Headroom, 安全和补丁信息
适用于: Oracle Database – Enterprise Edition – 版本 10.1.0.5到 11.2.0.3 [Release 10.1 to 11.2] 本文信息适用于任何平台 ...
- 上海科技大学计算机系学硕论文要求,上海交通大学医学院关于研究生在读期间发表学术论文要求的规定(沪交医研[2018]1号)...
沪交医研[2018]1号 根据<上海交通大学研究生培养管理规定>(沪交研[2017]74号)有关要求,加强研究生科研能力的培养,促进研究生的科研素质与创新能力,进一步提高医学院研究生培养质 ...
- Oracle 19c 19.10DBRU 最新补丁升级看这一篇就够了
作者 | JiekeXu 来源 | JiekeXu DBA之路(ID: JiekeXu_IT) 大家好,我是 JiekeXu,很高兴又和大家见面了,今天和大家聊聊 Oracle 19c RU 升级的事 ...
- Oracle 更新Opatch、打补丁
1.更新Opatch; 2.打补丁; 3.grid 打补丁; 1.更新Opatch(实验版本:oracle:11.2.0.3.0): 默认安装数据库后,在ORACLE_HOME 下会有个OPatch ...
- 前端证券项目_证监会公告[2018]6号 证券公司投资银行类业务内部控制指引
证监会公告 [2018]6 号 证券公司投资银行类业务内部控制指 引 中国证券监督管理委员会公告 [2018]6 号现公布 <证券公 司投资银行类业务内部控制指引> ,自 2018 年 7 ...
最新文章
- Mac下crontab -e没结果的解决办法
- 大数据架构:flume-ng+Kafka+Storm+HDFS 实时系统组合
- OllyDbg笔记-修改Messagebox的标题
- 当我们在谈数字化转型的时候,我们在谈什么?
- Android编译tcpdump,android 使用tcpdump
- 使用axis2解析wsdl反向生成webservice客户端
- java 并行框架_JAVA并行框架学习之ForkJoin
- 简述hdfs工作原理_HDFS 原理简述
- 浅谈《软件工程》常用的几种软件开发方法
- 真彩色与伪彩色的概念
- EXP-00091: Exporting questionable statistics 问题处理方法
- mysql的函数的写法_mysql中分组函数的写法
- 如何建立地球上任何一个区域的地形3d模型,并添加卫星或地貌贴图
- 目前最新《Thinkphp 5.0 仿百度糯米开发多商家电商平台》
- 跑步用app轨迹画得比较准确的居然是“咕咚”
- 蛙蛙推荐:蛙蛙教你解析网络包
- 黄金期货对比现货黄金有哪些优势
- Camera Tuning
- 控制台报错element: <Goods> - did you register the component correctly? For recursive components, make sur
- aws lambda_Google Cloud Run与AWS Lambda