Oracle2021 年度安全警告,8 个安全漏洞需要注意

最新推荐文章于 2024-05-14 08:53:01 发布
最新推荐文章于 2024-05-14 08:53:01 发布
阅读量2.8k 收藏 3
点赞数 2
分类专栏: 快讯 文章标签: mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdngeeknews/article/details/112863185
版权

| 快讯

Oracle 公司 于 2021 年 1 月 19 日,发布了第一个年度安全预警。其中,有 8 个安全警告和 Oracle 数据库部分有关。目前,可以通过最新的 CPU 补丁,可以修复这个安全漏洞。

以下是这 8 个安全漏洞:

  • CVE-2021-2018
    该漏洞无需身份验证即可远程利用,入侵者可以通过网络利用这些漏洞并且不需要用户凭据。给出的安全系数风险评分是 8.3 分。不过,此攻击复杂度较高,也只影响 Windows 平台

  • CVE-2021-2035
    被通过数据库的Scheduler 定时组件进行攻击,需要 Export Full Database 权限,如果对这个权限有管控权,则可以降低风险。风险评分高达 8.8 分。修复的方法是:梳理数据库的权限,或者应用补丁修复。

  • CVE-2021-2054
    该漏洞和 Sharding 组件有关,大部分个人用户可能用不到,同时,不用分布式组件的用户也可以忽略

  • CVE-2021-2116 和 CVE-2021-2116
    该漏洞和 Oracle Apex 有关,可以通过 HTTP 协议进行攻击。防范方式:做好账户管理,则风险不大

  • CVE-2021-1993
    该漏洞和 Java JVM 有关,也是之前一系列反序列化的漏洞延续,可以通过 Package 的权限限制防范,或者补丁修复

  • CVE-2021-2045
    该漏洞和 Text 组件相关,大部分用户应该没有这个选项。同时建议,数据库安装时,对于用不到的组件,不要选择安装。

  • CVE-2021-2000
    该漏洞是 Unified Audit 统一审计管理特性相关的漏洞,对于权限要求极高,所以风险最低,安全分是 2.4 分。

具体风险列表如下:
在这里插入图片描述

极客日报
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
oracle漏洞修补,oracle数据库高危漏洞补丁集安装
weixin_31067223的博客
04-03 1402
——记一次ORACLE数据库使用opatch升级PSU的过程目的:使用oracle自带工具opatch对oracle数据库软件应用高危漏洞补丁集PSU,修复oracle数据库高危漏洞,规避由于普通用户具有业务用户数据表的查询权限,绕过数据库安全机制对业务用户数据表进行增、删、改操作的隐患。风险:1、本次整改中需要启停数据库2、对ORACLE数据库应用PSU补丁集可能会引入新的BUG前期准备:操作系...
Oracle漏洞扫描安全加固.pdf
11-17
Oracle漏洞扫描安全加固.pdf
Oracle联合查询详解
m0_65472085的博客
04-17 2005
select t1.empno 员工编号,t1.ename 员工姓名,t1.mgr 领导编号,t2.empno “领导编号(empno)”,t2.ename 领导姓名 from emp t1 join emp t2 on t1.mgr = t2.empno;数据量:左表数据全部展示,右表数据不匹配,以空值显示。数据量:右表数据全部展示,左表数据不匹配,以空值显示。自连接是一种特殊的连接,自己和自己连接。自连接关键字:可以是任何连接方式。概念:多张表连接,合并查询数据。数据量:是两张表的数据的乘积。
Oracle漏洞
收集盒 Book box
12-04 1410
Oracle 漏洞 作者: orape    时间: 2008-3-11 12:38     标题: 回复 #1 orape 的帖子 【漏洞编号】        CVE-2004-0637 【漏洞名称】        ctxsys.driload.validate_stmt 提升权限漏洞 【影响平台】        Oracle 8.i - Oracle9i (all
2024年Go最新干货 Oracle注入和漏洞利用姿势总结(4),2024年最新腾讯3轮面试都问了Golang事件分发
最新发布
qq_38197819的博客
05-14 277
MSSQL 数据库是强类型语言数据库,当类型不一致时将会报错,配合子查询即可实现报错注入。前提是服务器允许返回报错信息。Oracle 数据库的报错注入是通过某些函数报错前进行子查询,再通过错误页面回显查询结果。下面介绍几种常见的报错注入函数的示例。
Oracle也有注入漏洞
09-11
Oracle也有注入漏洞
oracle漏洞修补,01-oracle漏洞修复
weixin_32645173的博客
04-03 2153
oracle漏洞修复,主要就是通过oracle内置的optach工具给oracle打补丁。但是,oracle中自带的optach版本是不能提供升级功能的。所以需要先升级opatch才可以给数据库打补丁。1.OPatch升级首先对oracle中自带的optach进行备份,防止升级optach失败,退回原版本。升级直接删除/home/oracle/app/oracle/product/11.2.0/...
2023年4月Oracle补丁日漏洞安全通告
05-05
近日,深信服安全团队监测到一则 Oracle WebLogic 官方发布安全补丁的通告,共修复了 6 个安全漏洞,其中包含 4 个高危漏洞的信息。 二、漏洞分析 2.1 组件介绍 Oracle WebLogic Server 是一个基于 Java EE 架构...
oracle 11g数据库安全加固注意事项
09-10
主要介绍了oracle11g数据库安全加固须谨慎 ,需要的朋友可以参考下
Linux下Oracle 12c的安全卸载
03-04
Linux下Oracle 12c的安全卸载
安全漏洞评分系统CVSS
09-28
对于软件供应商如Oracle、思科和赛门铁克等,CVSS评分可以帮助他们确定哪些漏洞需要立即解决,从而提升产品的安全性。同时,对于用户来说,了解CVSS评分可以帮助他们评估风险,制定相应的防护策略。
Oracle数据库漏洞分析:无需用户名和密码进入你的数据库
My Technology Workstation
06-25 3638
摘要   一般性的数据库漏洞,都是在成功连接或登录数据库后实现入侵;本文介绍两个在2012年暴露的Oracle漏洞,通过这两种漏洞的结合,可以在不掌握用户名/密码的情况下入侵Oracle,从而完成对数据的窃取或者破坏。这两个漏洞就是CVE-2012-1675和CVE-2012-3137。 引言 国内外很多重要的系统都采用Oracle作为数据存储的数据库;在Oracle中存储着企业
oracle 漏洞补丁修复,Oracle发布41个安全补丁 修复产品严重漏洞
weixin_32532029的博客
04-03 609
Oracle本次将发布了41个安全补丁,作为季度严重补丁更新(Critical Patch Update,CPU)的一部分。这些补丁修复了它的产品中的十几个严重漏洞。在Oracle对客户的补丁发布预告中说,这次CPU包括Oracle数据库中的十个新的安全漏洞补丁。这些漏洞存在于Job Queue、Oracle OLAP、 Oracle Spatial和Oracle Streams中,影响到Orac...
ORACLE数据库安全漏洞之监听密码设置
qq_27361945的博客
09-25 1278
http://blog.itpub.net/29357786/viewspace-1769373/ ORACLE数据库安全漏洞之监听密码设置 原创 Oracle 作者:清风艾艾 时间:2015-08-12 15:37:03 1548 0     Oracle相关组件安全防范做的可谓真够全面,当然监听程序也有相关安全设置;默认状态下,用户不需要使用任何密码即通过lsnrctl 工具对Orac...
Oracle数据库口令破解安全漏洞
miki西游 不积跬步,无以至千里;不积小流,无以成江海
11-15 610
在2012年10月,Oracle公司发布一个安全漏洞补丁包,修复的漏洞影响到数据库帐号密码的安全,其名称为CVE-2012-3137。它的具体信息是Oracle 10g和11g数据库中使用SHA-1加密算法帐号口令在知道SID和数据库服务器IP的情况下可以被破解,这使得它成了一个重大安全隐患,因此迫切需要修复。 在oracle 11g中,帐号口令默认采用SHA-1加密算法。如果采用DES加密算法...
Oracle数据库高危漏洞警告
cuchou5321的博客
05-13 404
注:本文来自云和恩墨。 各位用户,最近在互联网上暴露出一个Oracle的高危漏洞,利用该漏洞,仅有查询权限的用户可以对数据进行增、删、改操作,非常危险。该漏洞影响范围非常广泛,包括在国内最常见的11.2.0.3,11...
Oracle WebLogic远程命令执行漏洞预警
systemino的博客
04-22 1729
2019年04月17日,国家信息安全漏洞共享平台(CNVD)官方发布安全公告,称Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞,攻击者可利用该漏洞,可在未授权的情况下远程执行命令。 随后知道创宇404实验室启动应急流程,通过分析后复现了该漏洞并确定该漏洞影响启用了wls9_async_response.war及wls-wsat.war组件的所有Weblogi...
常用的SQL注入语句
孤的博客
10-11 2308
SQL是一种组织、管理和检索计算机数据库村粗数据的工具,它是一种计算机语言。 每天SQL语句均由一个谓词开始,该谓词描述这条语句要产生的动作,列如SELECT或UPDATE关键字。谓词后紧接一条或多天子句,子句中给出了被谓词作用的数据或提供谓词动作的详细信息。每条子句由一个关键字开始,SELECT谓词后为FROM关键字。 局部变量(Local Variable)和全局变量(Global Varia...
Oracle注入
秋水的博客
09-03 6475
Oracle数据库 Oracle数据库也是一种关系数据库,此数据库体量较大,一般与jsp网站联合 既然是关系数据库,肯定也是存在一些关系表,在Oracle数据库中,库的概念被淡化,强调用户 Oracle注入之联合查询 注入原理 其注入原理与MySQL一致,都是基于回显的注入,通过union all select来获取我们想要的数据 引入知识 dual表,此表是Oracle数...
Oracle数据库安全漏洞与防护解析
Oracle曾通过宣传其9i数据库能达到“绝对安全”来提升品牌形象,但这在2002年被英国安全专家David Litchfield发现的9iAS中的缓冲区溢出漏洞所打破,随后其他安全组织也发现了漏洞,使得用户对Oracle数据库安全产生...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值