2020年10月Oracle安全补丁:四个远程无凭证漏洞 两个内核级别漏洞需关注

最新推荐文章于 2023-04-27 20:16:41 发布
VIP文章 最新推荐文章于 2023-04-27 20:16:41 发布
阅读量2.4k 收藏 2
点赞数
文章标签: 数据库 安全 信息安全 oracle 数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/enmotech/article/details/109233639
版权

墨墨导读:Oracle 公司发布了最新一期的数据库重要补丁更新建议,我们整理和分析10月号的内容以便供用户和读者参考。

数据技术嘉年华,十周年盛大开启,点我立即报名大会以“自研·智能·新基建——云和数据促创新 生态融合新十年” 为主题,相邀数据英雄,总结过往十年历程与成绩,展望未来十年趋势与目标!近60场演讲,大咖云集,李飞飞、苏光牛、林晓斌、黄东旭...,快来pick你喜欢的嘉宾主题吧!

Oracle Critical Patch Update Advisory - October 2020

链接:https://www.oracle.com/security-alerts/cpuoct2020.html

此关键补丁更新包含18个新的安全补丁,以及下文所述的针对Oracle数据库产品的其他第三方补丁。其中4个漏洞可能在没有验证的情况下被远程利用,即可能在不需要用户凭证的情况下通过网络被利用.其中1个补丁适用于仅限客户端的安装,即没有安装Oracle数据库服务器的安装。

以下几点需要关注:

1. 四个远程无需用户凭证验证漏洞:这四个漏洞分别是

  • Oracle Text 组件的 CVE-2020-14734

  • Workload Manager 组件的 CVE-2020-13935

  • Oracle Application Express 组件的 CVE-2020-11023,

  • ORDS 组件的 CVE-2020-11023
    这四个漏洞中,除了第一个,其余三个的攻击复杂性都是 Low,也就是容易被利用,如果数据库应用了这些组件,需要特别注意。

2. 两个Core RDBMS内核级别漏洞

  • 第一个是 CVE-2019-12900,这个是去年的CVE,评分很高 8.8 分,攻击复杂性低,需要关注,但是这个漏洞需要 DBA 帐号,如果做好权限管控,则无需担忧;

  • 第二个是 CVE-2020-14742,需要 SYSDBA帐号才能实现攻击,做好权限账户管控,则风险不大。

3. 六个本地Application Express漏洞
如果未使用 APEX,则无需关注,如果使用了,则需要关注,配合前几个 Apex漏洞统一修复;

4. 一个 Java VM 漏洞
CVE-2020-14743,Java VM 的漏洞过去修复了很多,多数和反序列化有关,如果之前处置过,对权限细化管控,则无需担忧,Create Procedure 权限

最低0.47元/天 解锁文章
数据和云
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
20234Oracle补丁日漏洞安全通告
05-05
20234Oracle补丁日漏洞安全通告
Oracle漏洞扫描安全加固.pdf
11-17
Oracle漏洞扫描安全加固.pdf
Linux系统下oracle11.2.0.4漏洞修复打补丁(2021.10.19号目前最新的补丁)
02-20
Linux系统下oracle11.2.0.4漏洞修复打补丁(2021.10.19号目前最新的补丁) 整体补丁包及OPath,内附安装说明,内容详细完整。
Oracle Database Server ‘TNS Listener’远程数据投毒漏洞CVE-2012-1675)的完美解决方法
12-16
环境:Windows 2008 R2 + Oracle 10.2.0.3 应用最新bundle patch后,扫描依然报出漏洞 Oracle Database Server ‘TNS Listener’远程数据投毒漏洞CVE-2012-1675) •1.确定解决方案 •2.应用解决方案 •3.验证修补情况 •4.Reference 1.确定解决方案 安全厂家给出的解决办法: 链接:http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html 根据此链接得到解决方法: So
Apache Shiro Padding Oracle漏洞可导致远程命令执行漏洞解决
01-09
背景:Apach Shiro官方披露其cookie持久化参数rememberMe加密算法存在漏洞,可被Padding Oracle攻击,攻击者利用Padding Oracle攻击手段可构造恶意的rememberMe值,绕过加密算法验证,执行java反序列化操作,最终可导致远程命令执行获取服务器权限,风险极大。 1,漏洞描述: Apache Shiro < 1.4.2 版本中cookie值rememberMe通过AES-128-CBC模式加密,容易受到Padding Oracle攻击。攻击者可以通过以下步骤完成攻击: 1、登录Shiro网站,获取持久化cookie中rememberMe字段的值;
MySQ漏洞修复
魏振东
08-22 3168
MySQ漏洞修复
HTTP_Oracle_Weblogic_远程代码执行漏洞[CVE-2020-14882]
orchid_sea的博客
07-14 838
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。Oracle WebLogic Server 远程代码执行漏洞POC已经被公开,未经身份验证的远程攻击者可以构造特殊的HTTP请求,在未经身份验证的情况下接管 WebLogic Server Console ,并利用该漏洞在受影响的 WebLogic Server 上执行任
oracle10漏洞修复,Oracle 201010更新修复多个Java安全漏洞
weixin_42467960的博客
04-05 1127
发布日期:2010-10-12更新日期:2010-10-21受影响系统:Sun JDK 1.6.xSun JDK 1.5.xSun JRE 1.6.xSun JRE 1.5.xSun JRE 1.4.xSun SDK 1.4.x不受影响系统:Sun JDK 1.6.0_22Sun JDK 1.5.0_26Sun JRE 1.6.0_22Sun JRE 1.5.0_26Sun JRE 1.4.2_2...
oracle数据库警告,Oracle数据库高危漏洞警告!
weixin_32111725的博客
04-13 549
最近在互联网上暴露出一个Oracle的高危漏洞,利用该漏洞,仅有查询权限的用户可以对数据进行增、删、改操作,非常危险。该漏洞影各位用户,最近在互联网上暴露出一个Oracle的高危漏洞,利用该漏洞,仅有查询权限的用户可以对数据进行增、删、改操作,非常危险。该漏洞影响范围非常广泛,包括在国内最常见的11.2.0.3,11.2.0.4,12.1等版本。该漏洞在20147的CPU中被修正,但是如果用户...
Web中间件常见安全漏洞
KHOST的博客
03-19 7560
第一章:IIS IIS 6 解析漏洞 IIS 7 解析漏洞 PUT任意文件写入 IIS短文件漏洞 HTTP.SYS远程代码执行 (MS15-034) RCE-CVE-2017-7269 第二章:Apache 未知扩展名解析漏洞 AddHandler导致的解析漏洞 ...
Java防御目录穿越漏洞方法_WinRAR目录穿越漏洞复现及防御
weixin_35794316的博客
03-01 986
漏洞背景2019 2 20日 @NadavGrossman 发表了一篇关于他如何发现一个在WinRAR 中存在19 的逻辑问题以至成功实现代码执行的文章。WinRAR 代码执行相关的CVE 编号如下:CVE-2018-20250,CVE-2018-20251, CVE-2018-20252, CVE-2018-20253该漏洞是由于WinRAR 所使用的一个陈旧的动态链接库UNACEV2....
percona mysql 8.0.18升级到8.0.32
描述不清的男人
04-27 964
3.下载新版本的基础构建rpm,使用rpm -ivh *.rpm --replacefiles 进行安装(--replacefiles 替换属于其它软件包的文件)Oracle MySQL/MariaDB Server 输入验证错误漏洞(CVE-2021-2144)采用本方法,简单便捷,升级多次暂未出现问题。Oracle MySQL Server 输入验证错误漏洞(CVE-2021-22926)Oracle MySQL Server 输入验证错误漏洞(CVE-2021-35610)
MySQL server拒绝服务漏洞_Oracle MySQL Server 拒绝服务漏洞
weixin_39661881的博客
02-11 237
HTML 个人资料框题是理想状态和现实状态之间的差别",以及"无论表面上表现的 ...Contoso 大学 - 4 - 创建更加复杂的数据模型
解决mysql漏洞 Oracle MySQL Server远程安全漏洞(CVE-2015-0411)
dieweidong5625的博客
04-19 3138
有时候会检测到服务器有很多漏洞,而大部分漏洞都是由于服务的版本过低的原因,因为官网出现漏洞就会发布新版本来修复这个漏洞,所以一般情况下,我们只要对相应的软件包进行升级到安全版本即可。 通过查阅官网信息,Oracle MySQL Server远程安全漏洞(CVE-2015-0411),受影响系统: OracleMySQL Server <= 5.6.21Oracle MyS...
【系统安全】Apache Tomcat 漏洞修复
elab-i
11-24 7940
一、Apache Tomcat远程代码执行漏洞(CVE-2019-0232) Affects: 7.0.0 to 7.0.93 有补丁 二、Apache Tomcat拒绝服务漏洞(CVE-2016-3092) Affects: 7.0.0 to 7.0.69 无权限 三、Apache Tomcat CORS Filter 安全漏洞(CVE-2018-8014) 7.0.89已经修复 无权限 四、Apache Tomcat 安全限制绕过漏洞(CVE-20...
oracle 注入漏洞修复,Oracle 20107更新修复多个Oracle Database安全漏洞
weixin_42097189的博客
04-03 1702
发布日期:2010-07-14更新日期:2010-07-19受影响系统:Oracle Database 9.2.0.8DVOracle Database 9.2.0.8Oracle Database 11.2.0.1Oracle Database 11.1.0.7Oracle Database 10.2.0.4Oracle Database 10.2.0.3Oracle Database 10.1...
CVE-2016-07255 分析
qq_41252520的博客
08-14 402
文章目录CVE-2016-072550x1 漏洞描述0x2 影响版本0x3 漏洞分析■ xxxNextWindow 逆向分析■ 漏洞验证■ 漏洞利用■ EXP■ 演示0x5 总结0x6 参考 CVE-2016-07255 0x1 漏洞描述 在windows的图形处理驱动win32k.sys中,函数 xxxNextWindow\textcolor{cornflowerblue}{xxxNextWindow }xxxNextWindow​​未检查对象的合法性就直接使用,存在安全隐患。攻击者可以通过精心设置该对
oracle 漏洞更新吗,【漏洞通告】Oracle 1多个安全漏洞
weixin_29192211的博客
04-08 613
0x00漏洞概述20210119日,Oracle发布了1份的安全更新,本次发布的安全更新共计329个,涉及Oracle E-Business Suite、Fusion Middleware、MySQL、Database、Java SE、Oracle Construction and Engineering Suite等多个产品和组件。0x01漏洞详情部分漏洞列表如下:Oracle E-Bus...
JSch 实际使用中的问题
scugxl的专栏
12-20 7359
Abstract 这篇文章会介绍一些常见的使用JSch中的一些问题.  都是在实际客户运行环境中发现的问题. JSch是一个用Java实现的与SSH服务器交互的库. 但是这个库本身已经很久没有更新了.   一般的测试代码: import com.jcraft.jsch.ChannelExec; import com.jcraft.jsch.JSch; import com.jcraft...
oracle漏洞补丁下载
最新发布
04-30
Oracle是一种常用数据库软件,但也时常受到黑客攻击。为了消除这些漏洞Oracle会在其官方网站上发布漏洞补丁下载。下载之前,要注意以下几点: 首先,要确定所使用的Oracle版本,以及操作系统的平台类型(比如Linux,Windows,Solaris等)。下载的漏洞补丁要与Oracle版本和平台类型相符。 其次,在下载前,要对该文件的来源进行检查,确保其来自Oracle官方网站,而非恶意平台。只有从可信的来源下载并安装漏洞补丁,才能有效的保护数据库安全。 另外,还要确保下载和安装的补丁与与所数据库最新版本兼容。安装不兼容的漏洞补丁可能会引发其他问题。 最后建议在执行下载前,先备份数据库文件,以防止出现数据丢失或损坏等问题。同时,也要确保漏洞补丁安装成功后的测试工作有效,以尽可能避免引起其他问题。 总之,Oracle补丁下载要认真且谨慎,遵循最佳实践,以确保其有效性,同时保护数据库安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值