在美西時(shí)間2018一月16日，北京時(shí)間今天凌晨，Oracle公司發(fā)布了 2018 年第一個(gè)安全補(bǔ)丁，這被稱(chēng)為 - Oracle Critical Patch Update，縮寫(xiě)為 CPU。

Oracle強(qiáng)烈推薦用戶根據(jù)實(shí)際情況，盡快應(yīng)用這些安全補(bǔ)丁。

我們看一下關(guān)于數(shù)據(jù)庫(kù)的部分，Oracle這一次修復(fù)了什么漏洞。關(guān)于數(shù)據(jù)庫(kù)部分有 5 個(gè)安全漏洞被修復(fù)，其中兩個(gè)和數(shù)據(jù)庫(kù)核心組件相關(guān)：Core RDBMS，值得引起注意，其他 3 個(gè)和組件相關(guān)：

其中第一個(gè)和第五個(gè)的CVE編號(hào)分別是：CVE-2017-10282 ，意味著這是一個(gè)在2017年被披露的問(wèn)題。這個(gè)問(wèn)題在CVE網(wǎng)站未被披露。

第五個(gè)是 CVE-2018-2575 ，在CVE網(wǎng)站上可以找到簡(jiǎn)單的描述，但是核心信息是不會(huì)披露的，你不會(huì)了解到任何相關(guān)的內(nèi)容，這是為了確保安全，但是這也為用戶判斷是否修復(fù)、是否可以通過(guò)其他方式繞過(guò)漏洞帶來(lái)了困惑。

是否應(yīng)用這些補(bǔ)丁？要想做出判斷就必須深入了解誘發(fā)問(wèn)題的可能情況。

我們看看第一個(gè)核心問(wèn)題：CVE-2017-10282。這個(gè)問(wèn)題會(huì)因?yàn)?Create Session, Execute Catalog Role 觸發(fā)，也就是說(shuō)這是因?yàn)闄?quán)限引起的，影響的版本包括已經(jīng)發(fā)布的12從版本：12.1.0.2, 12.2.0.1 。

我們來(lái)重現(xiàn)一下這個(gè)問(wèn)題，首先在多租戶數(shù)據(jù)庫(kù)中，創(chuàng)建一個(gè)具有 execute_catalog_role 權(quán)限的用戶?：

我們看看會(huì)發(fā)生什么樣的風(fēng)險(xiǎn)。

具備了權(quán)限，當(dāng)我執(zhí)行了一條語(yǔ)句命令之后：

執(zhí)行SQL注入查詢之后，這個(gè)普通用戶獲得了DBA的權(quán)限。這就是這個(gè)漏洞的影響之處。這是一個(gè) 12.2 版本的數(shù)據(jù)庫(kù)。獲得DBA權(quán)限的用戶，就可以在數(shù)據(jù)庫(kù)中為所欲為，這個(gè)漏洞夠嚴(yán)重嗎？

如果了解了風(fēng)險(xiǎn)，就可以通過(guò)權(quán)限控制，防范這個(gè)風(fēng)險(xiǎn)，也就不一定非要通過(guò)補(bǔ)丁去修正。

清醒的認(rèn)知風(fēng)險(xiǎn)，正是正確判斷決策的開(kāi)始。

原文發(fā)布時(shí)間為：2018-01-16

本文作者：蓋國(guó)強(qiáng)

本文來(lái)自云棲社區(qū)合作伙伴“數(shù)據(jù)和云”，了解相關(guān)信息可以關(guān)注“數(shù)據(jù)和云”微信公眾號(hào)

總結(jié)

以上是生活随笔為你收集整理的安全警报：Oracle 2018一月号安全补丁修复由来已久安全漏洞的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。