2020年10月Oracle安全补丁:四个远程无凭证漏洞 两个内核级别漏洞需关注
墨墨导读:Oracle 公司发布了最新一期的数据库重要补丁更新建议,我们整理和分析10月号的内容以便供用户和读者参考。
数据技术嘉年华,十周年盛大开启,点我立即报名!大会以“自研·智能·新基建——云和数据促创新 生态融合新十年” 为主题,相邀数据英雄,总结过往十年历程与成绩,展望未来十年趋势与目标!近60场演讲,大咖云集,李飞飞、苏光牛、林晓斌、黄东旭...,快来pick你喜欢的嘉宾主题吧!
Oracle Critical Patch Update Advisory - October 2020
链接:https://www.oracle.com/security-alerts/cpuoct2020.html
此关键补丁更新包含18个新的安全补丁,以及下文所述的针对Oracle数据库产品的其他第三方补丁。其中4个漏洞可能在没有验证的情况下被远程利用,即可能在不需要用户凭证的情况下通过网络被利用.其中1个补丁适用于仅限客户端的安装,即没有安装Oracle数据库服务器的安装。
以下几点需要关注:
1. 四个远程无需用户凭证验证漏洞:这四个漏洞分别是
Oracle Text 组件的 CVE-2020-14734
Workload Manager 组件的 CVE-2020-13935
Oracle Application Express 组件的 CVE-2020-11023,
ORDS 组件的 CVE-2020-11023
这四个漏洞中,除了第一个,其余三个的攻击复杂性都是 Low,也就是容易被利用,如果数据库应用了这些组件,需要特别注意。
2. 两个Core RDBMS内核级别漏洞:
第一个是 CVE-2019-12900,这个是去年的CVE,评分很高 8.8 分,攻击复杂性低,需要关注,但是这个漏洞需要 DBA 帐号,如果做好权限管控,则无需担忧;
第二个是 CVE-2020-14742,需要 SYSDBA帐号才能实现攻击,做好权限账户管控,则风险不大。
3. 六个本地Application Express漏洞:
如果未使用 APEX,则无需关注,如果使用了,则需要关注,配合前几个 Apex漏洞统一修复;
4. 一个 Java VM 漏洞:
CVE-2020-14743,Java VM 的漏洞过去修复了很多,多数和反序列化有关,如果之前处置过,对权限细化管控,则无需担忧,Create Procedure 权限是这个 CVE 的条件,数据库权限严格管控,则无大风险;
5. 一个高危的 Scheduler 漏洞:
CVE-2020-14735 是和本地登录的任务调度相关漏洞,其积分高达8.8分,建议修复;
6. Valut和Developer三个小众组件漏洞:
涉及 SQL Developer、Database Vault 和 Filesystem 三个小众组件的漏洞应当极少部署,一般关注即可;
7. 一个 RDBMS Security 漏洞:
CVE-2020-14901 是和数据库安全相关的,和 Analyze Any 权限相关,做好权限管控,则风险不大。
总结一下,远程无需用户帐号的漏洞风险高,如果安装了相应组件,则需要抓紧修复;本地的主要漏洞,做好权限管理,则风险不高。如果条件许可,可以根据数据库组件情况,进行统一修复。
数据安全漏洞给我们持续的警示就是:
仅安装核心数据库组件,做好权限管理和帐号管控,多数风险可以自然免疫。
最后,值得注意的是,Oracle 数据库的这 18个 CVE 漏洞中,仅有一个来自中国用户 数据安全公司安华金和 的 Eddie Zhu:
Eddie Zhu of Beijing DBSEC Technology Co., Ltd: CVE-2020-14741
这个漏洞是和 Oracle Database Filesystem 相关的,需要高权限,实践风险应该不高:
Resource, Create Table, Create View, Create Procedure, Dbfs_role
感谢 Eddie Zhu.
以下是 Oracle 数据库部分信息的摘录。
Oracle Database Server Risk Matrix
Notes:
Additional ORDS bugs are documented in the risk matrix "Oracle REST Data Services Risk Matrix"
Additional CVEs addressed are:
The patch for CVE-2019-12900 also addresses CVE-2016-3189
The patch for CVE-2020-11023 also addresses CVE-2019-11358 and CVE-2020-11022
The patch for CVE-2020-13935 also addresses CVE-2020-11996, CVE-2020-13934 and CVE-2020-9484
The patch for CVE-2020-14734 also addresses CVE-2016-10244, CVE-2016-10328, CVE-2016-5300, CVE-2016-6153, CVE-2017-10989, CVE-2017-13685, CVE-2017-13745, CVE-2017-14232, CVE-2017-15286, CVE-2017-7857, CVE-2017-7858, CVE-2017-7864, CVE-2017-8105, CVE-2017-8287, CVE-2018-18873, CVE-2018-19139, CVE-2018-19539, CVE-2018-19540, CVE-2018-19541, CVE-2018-19542, CVE-2018-19543, CVE-2018-20346, CVE-2018-20505, CVE-2018-20506, CVE-2018-20570, CVE-2018-20584, CVE-2018-20622, CVE-2018-20843, CVE-2018-6942, CVE-2018-8740, CVE-2018-9055, CVE-2018-9154, CVE-2018-9252, CVE-2019-15903, CVE-2019-16168, CVE-2019-5018, CVE-2019-8457, CVE-2019-9936 and CVE-2019-9937
Additional patches are included in this Critical Patch Update for the following non-exploitable CVEs in this Oracle product family:
Core RDBMS (LZ4): CVE-2019-17543
Core RDBMS (Zstandard): CVE-2019-11922
Oracle Database (Perl Expat): CVE-2018-20843 and CVE-2019-15903
Oracle Spatial and Graph (Apache Log4j): CVE-2020-9488
Oracle Spatial and Graph (jackson-databind): CVE-2019-16943, CVE-2017-15095, CVE-2017-17485, CVE-2017-7525, CVE-2018-5968, CVE-2018-7489, CVE-2019-16942 and CVE-2019-17531
Oracle Spatial and Graph MapViewer (jQuery): CVE-2020-11023, CVE-2019-11358 and CVE-2020-11022
SQL Developer (Apache Batik): CVE-2018-8013 and CVE-2017-5662
SQL Developer (Apache Log4j): CVE-2017-5645
SQL Developer (Apache POI): CVE-2017-12626, CVE-2016-5000, CVE-2017-5644 and CVE-2019-12415
SQL Developer (jackson-databind): CVE-2018-7489, CVE-2017-15095, CVE-2017-17485, CVE-2018-1000873, CVE-2018-11307, CVE-2018-12022, CVE-2018-5968, CVE-2019-12086, CVE-2019-12384, CVE-2019-12814, CVE-2019-16335, CVE-2019-20330 and CVE-2020-8840
SQL Developer (JCraft JSch): CVE-2016-5725
SQL Developer Install (Bouncy Castle): CVE-2019-17359, CVE-2016-1000338, CVE-2016-1000339, CVE-2016-1000340, CVE-2016-1000341, CVE-2016-1000342, CVE-2016-1000343, CVE-2016-1000344, CVE-2016-1000345, CVE-2016-1000346, CVE-2016-1000352, CVE-2017-13098, CVE-2018-1000180, CVE-2018-1000613 and CVE-2018-5382
Oracle Database Server Client-Only Installations
The following Oracle Database Server vulnerability included in this Critical Patch Update affects client-only installations: CVE-2020-14740.
墨天轮原文链接:https://www.modb.pro/db/34081(复制到浏览器中打开或者点击“阅读原文”立即查看)
数据技术嘉年华,汇聚业内多种数据库最佳实践和顶级技术专家,只为总结 2020 ,与您尽享技术前沿,领先一步卓立变革潮头!
2020 数据技术嘉年华,现在加入,尽享超低票价优惠:
数据和云
ID:OraNews
如有收获,请划至底部,点击“在看”,谢谢!
点击下图查看更多 ↓
云和恩墨大讲堂 | 一个分享交流的地方
长按,识别二维码,加入万人交流社群
请备注:云和恩墨大讲堂
点个“在看”
你的喜欢会被看到❤
2020年10月Oracle安全补丁:四个远程无凭证漏洞 两个内核级别漏洞需关注相关推荐
- 2017年10月 oracle 关键补丁更新
注:本文出自http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html 检查你的系统,是否打了最新的补丁.. ...
- 2020年11月 Oracle WebLogic 高危预警:CVE-2020-14750 无需认证攻击
墨墨导读:Oracle 在11月2日 发布了一个关于 WebLogic 中间件的新的安全预警,这个安全警报涉及CVE-2020-14750,即Oracle WebLogic Server中的远程代码执 ...
- 2020年10月国产数据库排行:GoldenDB跃升异军突起 PolarDB和GaussDB云化融合
墨墨导读:2020年10月国产数据库流行度的前三位由 TiDB.达梦数据库.GBase(南大通用)获得,其中 TiDB 以超过 100分的优势领先第二位的达梦数据库. 数据技术嘉年华,十周年盛大开启, ...
- 2020年10月DB-Engines排行:商业开源平分秋色 并驾齐驱四大天王
墨墨导读:事实上,关系型数据库今天已经形成了『两商用加两开源,并驾齐驱四天王』的整体格局. 数据技术嘉年华,十周年盛大开启,点我立即报名!大会以"自研·智能·新基建--云和数据促创新 生态融 ...
- 链塔智库|区块链产业要闻及动态周报(2020年10月第2周)
链塔智库整理最近一周内区块链相关政策.业内动态.人物观点,为大家梳理呈现各个领域的最新发展. 目录 一.各地政策要闻 ●山东省将运用区块链等技术嫁接提升货运物流业 ●"深圳改革试点授权清单& ...
- 安卓应用测试指南 pdf_YPlay月刊2020年10月软件应用合集
Youth Play本月期刊精选2020年10月更新的各类软件应用合集: 说明:左侧序号为资源对应的关键字,右侧为内容的标题 161 2020驾考宝典APP,学车找教练不用愁 162 Microsof ...
- 优思学院|2020年10月美质协六西格玛黑带ASQ CSSBB考试经历……
分享一位学生考取的ASQ CSSBB的经历-- 2020年的10月17号--经过四个小时的现场考试,终于把之前复习4个月的黑带考试做了一个结尾,考试通过的结果2周后通过邮件的形式发送下来.将备考的背景 ...
- iPhone机型判断大全 (2020年10月更新:iPhone 12、iPhone 12 Pro、iPhone 12 Pro Max)
设备型号官网地址:Models - The iPhone Wiki 2020年10月14日,新款iPhone 12 mini.12.12 Pro.12 Pro Max发布 - (NSString *) ...
- 【财经期刊FM-Radio|2020年10月27日】
[财经期刊FM-Radio|2020年10月27日] 微信公众号: 张良信息咨询服务工作室 [今日热点新闻一览↓↓] 美股创两个月最大跌幅,欧股一个月新低,中概电商股优于大盘,美债两周最大涨幅. 美国 ...
最新文章
- 文件服务器:共享文件夹的移动和权限设置备份2012-04-28
- 计算机室活动实施方案,微机室活动计划
- hibernate 三种查询方式源码跟踪及总结
- 针对表单的事件;条件语句;定时器的简单介绍;
- 使用Grunt构建任务管理脚本(转)
- javafx ui_调用以验证JavaFX UI的响应能力
- 作者:洪文兴(1980-),男,厦门大学自动化系副教授,厦门信息产业与信息化研究院执行院长。...
- 交换两个变量的值,不使用第三个变量的四种方法
- Java—泛型详解和使用
- linux服务器开放防火墙和端口,以及查询状态
- 汇编语言:第二章 寄存器
- idea @value提示_IDEA 中springboot 项目使用 注解Autowired 出现红线
- Android菜鸟的成长笔记(16)——Service简介
- 从毛坯房到精装修,阿里云企业IT治理样板间助力云上管控和治理
- 人人视频android app,人人视频安卓版
- 电池SOC仿真系列-基于卡尔曼滤波算法的电池参数辨识
- 【neusoft】 Linux 的学习与使用
- 手机qlv转mp4工具
- 汽车技术管理系统c语言,[源码和文档分享]基于C语言实现的汽车牌照的快速查询...
- EXCEL中多行多列数据与一行或一列数据的互相转换
热门文章
- 受众定向_我如何了解社区与受众之间的差异
- 开源示波器项目_开源电子项目:示波器
- es6 Atomics对象
- es6 作为对象属性的Generator函数
- 10.11.5 brew mysql_mac os10.11下安装MySQLdb
- android 好用的工具,android studio 的几个好用的工具
- python scapy模块安装_python scapy模块安装与依赖模块
- 动画函数,为任意一个元素移动到指定的目标位置
- ArcGIS API for JavaScript:Layer之间那点儿事
- 校外分散实习(14)