墨墨导读:Oracle 公司发布了最新一期的数据库重要补丁更新建议,我们整理和分析10月号的内容以便供用户和读者参考。
数据技术嘉年华,十周年盛大开启,点我立即报名!大会以“自研·智能·新基建——云和数据促创新 生态融合新十年” 为主题,相邀数据英雄,总结过往十年历程与成绩,展望未来十年趋势与目标!近60场演讲,大咖云集,李飞飞、苏光牛、林晓斌、黄东旭...,快来pick你喜欢的嘉宾主题吧!
Oracle Critical Patch Update Advisory - October 2020
链接:https://www.oracle.com/security-alerts/cpuoct2020.html
此关键补丁更新包含18个新的安全补丁,以及下文所述的针对Oracle数据库产品的其他第三方补丁。其中4个漏洞可能在没有验证的情况下被远程利用,即可能在不需要用户凭证的情况下通过网络被利用.其中1个补丁适用于仅限客户端的安装,即没有安装Oracle数据库服务器的安装。
以下几点需要关注:
1. 四个远程无需用户凭证验证漏洞:这四个漏洞分别是
Oracle Text 组件的 CVE-2020-14734
Workload Manager 组件的 CVE-2020-13935
Oracle Application Express 组件的 CVE-2020-11023,
ORDS 组件的 CVE-2020-11023
这四个漏洞中,除了第一个,其余三个的攻击复杂性都是 Low,也就是容易被利用,如果数据库应用了这些组件,需要特别注意。
2. 两个Core RDBMS内核级别漏洞:
第一个是 CVE-2019-12900,这个是去年的CVE,评分很高 8.8 分,攻击复杂性低,需要关注,但是这个漏洞需要 DBA 帐号,如果做好权限管控,则无需担忧;
第二个是 CVE-2020-14742,需要 SYSDBA帐号才能实现攻击,做好权限账户管控,则风险不大。
3. 六个本地Application Express漏洞:
如果未使用 APEX,则无需关注,如果使用了&