几乎oracle的每个季度发布的数据库补丁Oracle Database Server Risk Matrix一项中都有如下语句描述的安全补丁

This vulnerability is remotely exploitable without authentication, i.e., may be exploited over a network without requiring user credentials.

这个漏洞在没有身份验证的情况下是可以被远程利用的,例如。,可以在不需要用户凭证的情况下通过网络进行利用

This vulnerability is remotely exploitable without authentication

这个漏洞在没有身份验证的情况下是可以被远程利用的

这句话的意思,没有身份验证就是没有某个权限比如没有DBA权限而只有Create Session权限的情况下,可能绕过正常的授权,而获取DBA权限。

就是可以绕过正常的用户身份或者权限认证,所以是漏洞。

比如:仅有查询权限的用户可以对数据进行增、删、改操作,非常危险。

比如:当一个用户只有EXECUTE_CATALOG_ROLE权限时,因为sql注入,该用户就可以获得DBA权限。

CVE#                 Component      Package and/or Privilege Required

CVE-2018-2939        Core RDBMS     Local Logon

CVE-2018-2841        Java VM        Create Session, Create Procedure

CVE-2018-3004        Java VM        Create Session, Create Procedure

CVE-2018-3004和CVE-2018-2841,一个用户只有Create Session, Create Procedure权限下,就可能绕过正常的权限操作从而获得更高的权限。

也就是说,一个用户密码被人盗了或别人使用这个账号,别人可以利用这个漏洞提高这个用户的权限,进而干坏事。

oracle cve 漏洞,CVE安全漏洞的理解相关推荐

  1. php x24 x65 x6d x61,Jboss远程代码执行漏洞CVE:2013-4810获得system权限

    此方法成功的渗透至Windows系统并获得最高权限exp 此方法成功的渗透至Windows系统并获得最高权限 exp ?php/*Apache Tomcat/JBoss EJBInvokerServl ...

  2. (23)【漏洞利用】【原理、利用过程】中间件解析漏洞、CMS漏洞、编辑器漏洞、CVE漏洞

    目录 解析漏洞: 原理: 变化因素: 熟知的中间件(解析漏洞) 0x01    IIS5.x-6.x解析漏洞: (1)目录解析漏洞(IIS6.0) 原理: 利用过程: (2)文件解析漏洞 原理: 利用 ...

  3. 远程桌面漏洞poc_【漏洞复现】CVE 2019-0708 漏洞利用

    0x00 前言 2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的Windows系统.此漏洞是预身份验证且无需用户交互,这就意味着这 ...

  4. bugtraq mysql,Oracle MySQL Server远程安全漏洞(CVE-2017-3459)

    Oracle MySQL Server远程安全漏洞(CVE-2017-3459) 发布日期:2017-04-18 更新日期:2017-04-20 受影响系统:Oracle MySQL Server & ...

  5. 奇安信代码卫士帮助微软和 Oracle 修复多个高危漏洞,获官方致谢

    聚焦源代码安全,网罗国内外最新资讯! 近日,奇安信代码安全实验室的研究员为微软和Oracle 发现多个高危漏洞,其中为微软发现一个"重要"级别的漏洞(CVE-2020-1426), ...

  6. Oracle EBS 两个严重漏洞可导致企业金融记录遭篡改

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 Oracle 最近修复的两个严重的电子商务套件 (E-Business Suite, EBS) 漏洞可被用于实现多种恶意目的,如篡改某 ...

  7. 2020-10 补丁日:Oracle多个产品高危漏洞安全风险通告

    2020-10 补丁日:Oracle多个产品高危漏洞安全风险通告 原创 360CERT [三六零CERT](javascript:void(0)

  8. [ 新出漏洞篇 ] 核弹级漏洞 Log4j2 RCE 漏洞爆出,开发圈苦逼,安全圈过年,你赶上了吗 ?(外行都能看懂的漏洞分析)

    Log4j2相信大家不陌生了~~~哈哈哈哈. 相信大家已经被 Log4j2 的重大漏洞刷屏了.几乎没有互联网公司幸免. 估计有不少开发的小伙伴在此前为了修 bug 已经累趴下了. 估计也有不少安全圈的 ...

  9. 漏洞管理_漏洞管理,广阔视野

    漏洞管理 什么是漏洞管理? (What is Vulnerability Management?) We'll start at the beginning. According to ISO 270 ...

  10. shiro550反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)

    漏洞原理 本文所有使用的脚本和工具都会在文末给出链接,希望读者可以耐心看到最后. 啥是shiro? Shiro是Apache的一个强大且易用的Java安全框架,用于执行身份验证.授权.密码和会话管理. ...

最新文章

  1. OSSIM系统的安装教程(超详细)
  2. include,require,include_once,require_once区别
  3. windows下多进程加协程并发模式
  4. 计算机专业开学周记,【热门】开学周记集锦5篇
  5. PaddlePaddle训练营——公开课——AI核心技术掌握——第1章迈入现代人工智能的大门——深度学习的基础算法——反向传播算法简介
  6. java 双向链表_java集合类之LinkedList
  7. leetcode538. 把二叉搜索树转换为累加树
  8. Linux whoami命令、Linux su命令、Linux w命令
  9. Effective_STL 学习笔记(四) 用 empty 来代替检查 size() 是否为0
  10. 剑指offer-序列化二叉树
  11. Win10 UWP系列:关于错误 0x80073CF9及一个小bug的解决
  12. Linux安装SQLite轻量级数据库
  13. 什么是分布式操作系统?有哪些优缺点?
  14. 对企业来说,网络营销渠道与传统营销的渠道有何不同?
  15. 彼得林奇:全球理财师中的NO.1
  16. python 几行代码实现自动回复功能
  17. C#视频处理,调用强大的ffmpeg
  18. 永磁同步电机力矩控制(二):FOC与DTC
  19. android仿今日头条视频显示效果
  20. 手机网站支付转Native支付--Android

热门文章

  1. Linux(进程概念详解)
  2. C. Get an Even String
  3. 企业应该怎么运营微信公众号?
  4. 4G路由 linux,DIY低成本4G路由器:性能高,易于开发和应用
  5. APP合集,简单总结一下
  6. 1. Linux系统简介
  7. BA-协议-BACnet 协议优势简析
  8. 沉浸式逆向某汽车app
  9. Codeforces 1146G Zoning Restrictions dp
  10. booktest-17 自定义过滤器 模板标签没有除法和取余函数