在美西時間2018一月16日，北京時間今天凌晨，Oracle公司發布了 2018 年第一個安全補丁，這被稱為 - Oracle Critical Patch Update，縮寫為 CPU。

Oracle強烈推薦用戶根據實際情況，盡快應用這些安全補丁。

我們看一下關于數據庫的部分，Oracle這一次修復了什么漏洞。關于數據庫部分有 5 個安全漏洞被修復，其中兩個和數據庫核心組件相關：Core RDBMS，值得引起注意，其他 3 個和組件相關：

其中第一個和第五個的CVE編號分別是：CVE-2017-10282 ，意味著這是一個在2017年被披露的問題。這個問題在CVE網站未被披露。

第五個是 CVE-2018-2575 ，在CVE網站上可以找到簡單的描述，但是核心信息是不會披露的，你不會了解到任何相關的內容，這是為了確保安全，但是這也為用戶判斷是否修復、是否可以通過其他方式繞過漏洞帶來了困惑。

是否應用這些補丁？要想做出判斷就必須深入了解誘發問題的可能情況。

我們看看第一個核心問題：CVE-2017-10282。這個問題會因為 Create Session, Execute Catalog Role 觸發，也就是說這是因為權限引起的，影響的版本包括已經發布的12從版本：12.1.0.2, 12.2.0.1 。

我們來重現一下這個問題，首先在多租戶數據庫中，創建一個具有 execute_catalog_role 權限的用戶?：

我們看看會發生什么樣的風險。

具備了權限，當我執行了一條語句命令之后：

執行SQL注入查詢之后，這個普通用戶獲得了DBA的權限。這就是這個漏洞的影響之處。這是一個 12.2 版本的數據庫。獲得DBA權限的用戶，就可以在數據庫中為所欲為，這個漏洞夠嚴重嗎？

如果了解了風險，就可以通過權限控制，防范這個風險，也就不一定非要通過補丁去修正。

清醒的認知風險，正是正確判斷決策的開始。

原文發布時間為：2018-01-16

本文作者：蓋國強

本文來自云棲社區合作伙伴“數據和云”，了解相關信息可以關注“數據和云”微信公眾號

總結

以上是生活随笔為你收集整理的安全警报：Oracle 2018一月号安全补丁修复由来已久安全漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。