最近在互联网上暴露出一个Oracle的高危漏洞,利用该漏洞,仅有查询权限的用户可以对数据进行增、删、改操作,非常危险。该漏洞影
各位用户,最近在互联网上暴露出一个Oracle的高危漏洞,利用该漏洞,仅有查询权限的用户可以对数据进行增、删、改操作,非常危险。该漏洞影响范围非常广泛,包括在国内最常见的11.2.0.3,11.2.0.4,12.1等版本。
该漏洞在2014年7月的CPU中被修正,但是如果用户未应用该CPU,则漏洞仍然存在。强烈建议您检查所有Oracle数据库,确认是否存在该安全风险。
云和恩墨在自己的测试环境中重现了该漏洞,云和恩墨的测试环境包括11.2.0.3,11.2.0.4,12.1.0.1这5个版本。您也可以通过以下步骤,检查数据库是否存在该漏洞。
(注:以下步骤仅供参考,原则上不会对数据库有任何影响,但是对于在生产环境中执行以下SQL可能产生的风险云和恩墨不负有任何责任)
1.首先创建基本测试用户,仅仅授予创建会话权限
SQL> create user test_update identified by test_update;
User created.
SQL> grant create session to test_update;
Grant succeeded.
2.将表查询权限赋予用户,注意很多产品环境中都存在类似设置
SQL> grant select on t to test_update;
Grant succeeded.
SQL> select count(*) from t;
COU