安全警报:Oracle 2018一月号安全补丁修复由来已久安全漏洞

最新推荐文章于 2022-07-21 16:34:42 发布
最新推荐文章于 2022-07-21 16:34:42 发布
阅读量554 收藏 1
点赞数
分类专栏: IT大事记 Oracle技术 文章标签: 安全漏洞 数据库 Oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eygle/article/details/79082524
版权

在美西时间2018年1月16日,北京时间今天凌晨,Oracle公司发布了 2018 年第一个安全补丁,这被称为 - Oracle Critical Patch Update,缩写为 CPU。


Oracle强烈推荐用户根据实际情况,尽快应用这些安全补丁。



我们看一下关于数据库的部分,Oracle这一次修复了什么漏洞。关于数据库部分有 5 个安全漏洞被修复,其中两个和数据库核心组件相关:Core RDBMS,值得引起注意,其他 3 个和组件相关:



其中第一个和第五个的CVE编号分别是:CVE-2017-10282 ,意味着这是一个在2017年被披露的问题。这个问题在CVE网站未被披露。


第五个是 CVE-2018-2575 ,在CVE网站上可以找到简单的描述,但是核心信息是不会披露的,你不会了解到任何相关的内容,这是为了确保安全,但是这也为用户判断是否修复、是否可以通过其他方式绕过漏洞带来了困惑



是否应用这些补丁?要想做出判断就必须深入了解诱发问题的可能情况。


我们看看第一个核心问题:CVE-2017-10282。这个问题会因为 Create Session, Execute Catalog Role 触发,也就是说这是因为权限引起的,影响的版本包括已经发布的12从版本:12.1.0.2, 12.2.0.1 。


我们来重现一下这个问题,首先在多租户数据库中,创建一个具有 execute_catalog_role 权限的用户 :



我们看看会发生什么样的风险。


具备了权限,当我执行了一条语句命令之后:



执行SQL注入查询之后,这个普通用户获得了DBA的权限。这就是这个漏洞的影响之处。这是一个 12.2 版本的数据库。获得DBA权限的用户,就可以在数据库中为所欲为,这个漏洞够严重吗?



如果了解了风险,就可以通过权限控制,防范这个风险,也就不一定非要通过补丁去修正。


清醒的认知风险,正是正确判断决策的开始。


相关链接:

安全警报:Oracle 2018一月号安全补丁修复由来已久安全漏洞


000.jpg


eygle
关注
专栏目录
高危安全漏洞风险提示:Oracle7月修复Weblogic Server严重RCE漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-08 651
Oracle 解决的最严重问题之一是通过 Oracle WebLogic Server Web 服务中的 XMLDecoder 存在的严重反序列化漏洞。该 CVE-2019 年至 2729 年的漏洞就是可通过未经认证的攻击者利用的远程执行代码漏洞。高危安全漏洞风险提示:Oracle7月修复Weblogic Server严重RCE漏洞. “此安全警报解决了 CVE-2019-2729,这是一个通过 Oracle WebLogic Server Web 服务中的 XMLDecoder 实现的反序列化漏洞。该远
Oracle 2021年度安全警报: Critical Patch Update 发布8个数据库警告
Enmotech的博客
01-21 581
墨墨导读:Oracle公司于2021年1月19日,发布了第一个年度安全预警。关于 Oracle 数据库部分,共 8个 安全警告,通过应用最新的 CPU 补丁可以修复这个安全漏洞。此重要补...
oracle补丁
02-08
解决通过数据泵将10g库迁移到11g库时报错ORA-39126、ORA-01555
Oracle最新补丁包修101个漏洞(转)
08-16 408
Oracle最新补丁包修101个漏洞(转)[@more@]据国外媒体报道,10月17日,美国商用软件巨头甲骨文公司发布了今年第四季度的季度安全补丁包。此次补丁包不仅数量可观(修补101个漏洞),而且甲骨文首次引入了漏洞风险评级机...
漏洞通告 | Oracle发布7月更新, 修复墨云科技报告的高危漏洞
Moyun_vackbot的博客
07-21 391
Oracle发布2022年7月补丁更新, 修复了由墨云科技报告的一个高危漏洞,墨云科技建议广大用户做好资产自查以及预防工作,以免遭受恶意攻击。
拉响手机QQ安全警报:聊天记录查看器
04-01
"拉响手机QQ安全警报:聊天记录查看器"这一标题提示了我们,可能存在一种针对手机QQ的恶意软件或者安全隐患,该软件能够查看或窃取用户的聊天记录。这涉及到移动设备上的隐私保护和网络安全问题,尤其是对于使用QQ...
应用源码之拉响手机QQ安全警报:聊天记录查看器的编写.zip
最新发布
07-23
应用源码之拉响手机QQ安全警报:聊天记录查看器的编写
oracle cpu补丁冲突,Oracle CPU安全补丁及 PSU 注意事项
weixin_28791139的博客
04-05 255
以下是来自Oracle官方文档中的一些说明,供参考:1.对于Oracle 10.2.0.4及其后续版本,客户可以选择安装Critical Patch Update(CPU)或者Patch Set Update(PSU).这两者都是累积补丁。PSU包含了安全补丁修正,同时也包含了其他非安全Oracle推荐补丁修正。具体可以参考MOS: Note 854428.12.对于Windows平台,Orac...
oracle 11g 补丁
04-18
oracle 11g p10350787_111070升级补丁oracle 11g p10350787_111070升级补丁
oracle11g补丁all.jar
03-20
linux平台桌面中文环境下安装oracle11g会出现乱码,有三种解决办法,1.照着网上的图片点击选项和按钮;2.将终端设置为英文环境;3.将all.jar替换。
Oracle也有注入漏洞
09-11
Oracle也有注入漏洞
oracle10.2补丁包
09-29
oracle10.2补丁包 Patch 5689937 : Created on 8 Jan 2007, 13:14:29 hrs US/Eastern Bugs fixed: 4671216, 4925103, 4604970, 4616376, 5689937, 4288876, 5225798, 5694720 4754888, 4750469, 4369235, 4751931, 4966716, 5049080, 5242648, 4348230 5490846, 4630549, 5490936, 5049088
oracle cve是什么,数据安全:独立发布的Oracle严重 CVE-2018-3110 公告
weixin_42116596的博客
04-03 231
更多数据库咨询精彩早知道:"数据和云"公众2018年8月10日,Oracle 独立的发送了一封"安全警告"邮件给所有的 Oracle 用户,这封邮件的标题是:Oracle Security Alert for CVE-2018-3110。这也是今年 Oracle 第一次独立针对一个 CVE 安全风险发布预警。正常情况下,Oracle 每个季度发布一次安全补丁更新,今年的下一次发布应该在10月...
Oracle Database Server远程安全漏洞(CVE-2016-5555)
weixin_30779691的博客
07-24 1118
发布日期:2016-10-19更新日期:2016-10-24受影响系统: Oracle database server 12.1.0.2Oracle database server 11.2.0.4 描述: BUGTRAQ ID:93615CVE(CAN) ID:CVE-2016-5555Oracle Database Server是一个对象一关系数据库管理系统。它提供开...
2020-07 补丁日:Oracle多个产品高危漏洞安全风险通告
爱国小白帽
07-15 1750
360-CERT [三六零CERT](javascript:void(0)???? 今天 0x00 事件简述 2020年07月15日,360CERT监测到Oracle官方发布了7月份的安全更新。 此次安全更新发布了443个漏洞补丁,其中Oracle Fusion Middleware有52个漏洞补丁更新,主要涵盖了Oracle Weblogic、Oracle Coherence、Oracle BI Publisher、Oracle Endeca Information Discovery Studio、O
安全漏洞预警通告-Oracle WebLogic组件高危漏洞预警
sqlora的专栏
04-19 1408
安全漏洞预警通告-Oracle WebLogic组件高危漏洞预警   1、基本情况   Oracle于4月17日发布安全公告。该安全公告披露WebLogic服务器存在多个高危漏洞,影响到多个WebLogic组件。攻击者利用漏洞可远程获取WebLogic服务器权限。   2、漏洞描述   WebLogic是Oracle 公司出品的基于JavaEE 架构的中间件,用于开发、集成、部署和管理大型...
Oracle漏洞
收集盒 Book box
12-04 1449
Oracle 漏洞 作者: orape    时间: 2008-3-11 12:38     标题: 回复 #1 orape 的帖子 【漏洞编】        CVE-2004-0637 【漏洞名称】        ctxsys.driload.validate_stmt 提升权限漏洞 【影响平台】        Oracle 8.i - Oracle9i (all
二进制程序安全漏洞挖掘:动态与静态分析的结合
在计算机安全领域,软件漏洞是威胁信息系统安全的关键因素,特别是在网络空间中的对抗活动中,漏洞成为了一种重要的战略资源。由于许多软件供应商出于商业和知识产权保护,不公开源代码,所以针对二进制程序的漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值